O ator de ameaças conhecido como TA577 foi observado utilizando anexos de arquivos ZIP em e-mails de phishing com o objetivo de roubar hashes do NT LAN Manager (NTLM). A nova cadeia de ataque “pode ser usada para fins de coleta de informações sensíveis e para permitir atividades subsequentes.

Pelo menos duas campanhas que aproveitam essa abordagem foram observadas em 26 e 27 de fevereiro de 2024, acrescentou a empresa. As ondas de phishing disseminaram milhares de mensagens e visaram centenas de organizações em todo o mundo. As próprias mensagens pareciam ser respostas a e-mails anteriores, uma técnica conhecida como sequestro de thread, numa tentativa de aumentar a probabilidade de sucesso dos ataques.

A taxa com que o TA577 adota e distribui novas táticas, técnicas e procedimentos (TTPs) sugere que o ator de ameaças provavelmente tem tempo, recursos e experiência para iterar e testar rapidamente novos métodos de entrega. O TA577, que se sobrepõe a um cluster de atividades rastreado como Water Curupira, é um dos grupos de cibercrime mais sofisticados.