Фахівці з кібербезпеки компанії Check Point виявили масштабну кампанію кібератак, спрямовану на експлуатацію нещодавно виявленої вразливості Windows NTLM (CVE-2025-24054). Активна фаза атак розпочалася практично одразу після випуску березневого оновлення безпеки Microsoft 2025 року. Вразливість, що отримала оцінку 6,5 за шкалою CVSS, надає зловмисникам можливість непомітно викрадати облікові дані користувачів Windows через перехоплення NTLM-хешів.

Технічні особливості експлуатації вразливості

Особливу небезпеку становить надзвичайна простота активації вразливості – достатньо лише відкрити або клікнути правою кнопкою миші по шкідливому файлу. Зловмисники активно розповсюджують ZIP-архіви зі шкідливими файлами формату .library-ms. При взаємодії з таким файлом Windows Explorer автоматично ініціює SMB-автентифікацію на віддалений сервер, що призводить до витоку NTLM-хешу без будь-яких додаткових дій з боку користувача.

Географія та масштаби кібератак

Протягом тижня з 19 по 25 березня 2025 року дослідники зафіксували понад десять шкідливих кампаній, спрямованих на експлуатацію CVE-2025-24054. Викрадені NTLM-хеші передавалися на командні сервери, розташовані в п’яти країнах: Австралії, Болгарії, Нідерландах, Росії та Туреччині. Найбільша концентрація атак спостерігалася на державні установи та приватні організації Польщі та Румунії.

Методи атак та потенційні загрози

Отримавши доступ до NTLM-хешу, кіберзлочинці можуть реалізувати два основні сценарії атаки: провести підбір паролю методом брутфорс або організувати relay-атаку. Залежно від рівня привілеїв скомпрометованого облікового запису, зловмисники отримують можливості для горизонтального переміщення мережею, підвищення привілеїв та потенційної компрометації всього домену.

Зв’язок з APT-угрупованнями

Аналіз інфраструктури атак виявив ознаки, характерні для відомого APT-угруповання Fancy Bear (APT28/Forest Blizzard/Sofacy). Проте наразі недостатньо доказів для однозначного встановлення причетності конкретних threat-акторів до цих кібератак.

З огляду на активну експлуатацію вразливості, критично важливо негайно встановити останні оновлення безпеки Microsoft. Організаціям рекомендується посилити моніторинг мережевої активності, особливо пов’язаної з SMB-запитами, та провести додаткове навчання співробітників щодо безпечної роботи з файлами з неперевірених джерел. Впровадження багатофакторної автентифікації та регулярний аудит безпеки допоможуть знизити ризики успішної компрометації корпоративної мережі.