TA577 组织的恶意攻击活动概述

关键要点

• 初始访问代理 TA577（又称 Hive0118）近期对多家组织发起攻击，目的为窃取 Windows NT LAN Manager 身份验证数据。
• 攻击者通过恶意电子邮件利用合法消息的现有线程，诱导用户下载并打开包含 HTML 文档的密码保护 ZIP 文件。
• 打开 ZIP 文件后，会与攻击者控制的 SMB 服务器建立连接，该服务器使用开源 Impacket 工具包收集 NTLM 哈希。
• 研究人员建议阻止外部连接以降低风险。

在过去一周内，成百上千的组织遭到了初始访问代理 TA577（也称 Hive0118）的攻击，目标是窃取 Windows NT LAN Manager身份验证数据，相关报道来自 。

根据 Proofpoint 的报告，TA577 利用的恶意电子邮件通过 hijack 合法消息的现有线程，包含一个密码保护的 ZIP 文件，里面是一个 HTML 文档。用户在打开该文档后，将会与攻击者控制的 SMB 服务器建立连接。该服务器被发现使用开源 Impacket 工具包来收集 NTLM哈希，这之后可能被用于 。研究人员建议阻止外发连接以降低遇袭风险。研究人员补充说：“如果文件方案 URI直接发送在邮件正文中，那么对于自 2023 年 7 月以来已修补的 Outlook 邮件客户端，这次攻击将不会奏效。禁用 SMB的访客访问也无法减轻攻击风险，因为该文件必须尝试在外部 SMB 服务器上进行身份验证，以判断是否应使用访客访问。”

研究人员的建议是，及时阻止外部连接和监控系统活动，以最大限度降低这些攻击的影响。