TA577 改变策略：通过网络钓鱼电子邮件窃取 NTLM 哈希值

安全公司Proofpoint 发现 TA577 组织改变了攻击策略。黑客现在使用网络钓鱼电子邮件窃取 NT LAN Manager ( NTLM ) 身份验证哈希值，从而实现帐户接管。

具体来说，在 2024 年 2 月 26 日至 27 日的两波攻击中，该组织向全球数百个组织发送了数千封电子邮件，目的是窃取员工 NTLM 哈希值。

NTLM 哈希在 Windows 中用于身份验证和会话安全。攻击者可以使用窃取的哈希值来破解密码或进行“哈希传递”攻击，从而无需解密密码即可对远程服务器进行身份验证。

攻击方法涉及发送看似对受害者之前的消息进行回复的网络钓鱼电子邮件，这种技术称为线程劫持。电子邮件中附有唯一的（对于每个受害者）ZIP 存档，其中包含 HTML 文件，这些文件使用 META 刷新元标记来触发与SMB服务器上的文本文件的自动连接。当 Windows 设备尝试连接到服务器时，此技术允许网络犯罪分子窃取 NTLM 哈希值。

Proofpoint 强调，攻击者传递恶意档案以绕过 2023 年 7 月后更新的电子邮件客户端的保护。值得注意的是，攻击的目标正是捕获 NTLM 哈希值，而不是传播恶意软件。

专家指出，为了在网络攻击中使用窃取的哈希值，必须禁用帐户的多重身份验证 (MFA)。还有人建议，窃取哈希值可以作为一种情报形式来识别有价值的受害者。

建议的安全措施包括配置电子邮件过滤以阻止包含存档 HTML 文件的邮件，以及配置防火墙以阻止传出 SMB 连接（通常是端口 445 和 139）。对于 Windows 11 用户，微软引入了一项额外的安全功能，以防止通过 SMB 进行基于 NTLM 的攻击。