TA577 组织的恶意攻击活动概述

关键要点

初始访问代理 TA577又称 Hive0118近期对多家组织发起攻击，目的为窃取 Windows NT LAN Manager 身份验证数据。攻击者通过恶意电子邮件利用合法消息的现有线程，诱导用户下载并打开包含 HTML 文档的密码保护 ZIP 文件。打开 ZIP 文件后，会与攻击者控制的 SMB 服务器建立连接，该服务器使用开源 Impacket 工具包收集 NTLM 哈希。研究人员建议阻止外部连接以降低风险。

在过去一周内，成百上千的组织遭到了初始访问代理 TA577也称 Hive0118的攻击，目标是窃取 Windows NT LAN Manager 身份验证数据，相关报道来自 CSO Online。

蓝灯加速器支持设备

根据 Proofpoint 的报告，TA577 利用的恶意电子邮件通过 hijack 合法消息的现有线程，包含一个密码保护的 ZIP 文件，里面是一个 HTML 文档。用户在打开该文档后，将会与攻击者控制的 SMB 服务器建立连接。该服务器被发现使用开源 Impacket 工具包来收集 NTLM 哈希，这之后可能被用于 NTLM 中继攻击。研究人员建议阻止外发连接以降低遇袭风险。研究人员补充说：“如果文件方案 URI 直接发送在邮件正文中，那么对于自 2023 年 7 月以来已修补的 Outlook 邮件客户端，这次攻击将不会奏效。禁用 SMB 的访客访问也无法减轻攻击风险，因为该文件必须尝试在外部 SMB 服务器上进行身份验证，以判断是否应使用访客访问。”

攻击策略摘要恶意邮件利用合法消息线程发送含 ZIP 文件的邮件ZIP 文件包含 HTML文档，导致与 SMB 服务器建立连接SMB 服务器使用 Impacket 工具包收集 NTLM 哈希防范建议阻止外发连接，禁用访客访问不能完全防护

研究人员的建议是，及时阻止外部连接和监控系统活动，以最大限度降低这些攻击的影响。