趋势科技发现了该组织秘密攻击的新趋势。

趋势科技的一份 新报告 揭示了网络犯罪组织 Pawn Storm 的活动，该组织自 2004 年以来一直使用各种方法对全球重要组织进行黑客攻击。尽管方法看似过时，包括已有数十年历史的网络钓鱼活动，但 Pawn Storm 仍然成功破解了数千封电子邮件。

趋势科技表示，该组织最近转向使用Net-NTLMv2哈希进行攻击，试图渗透到世界各地的政府、国防和军事网络。该集团已在欧洲、北美和南美、亚洲、非洲和中东展示了其活动。黑客坚持更改受害者邮箱中的文件夹权限，使他们能够在网络中漫游。

自2019年以来，网络犯罪分子经常使用暴力方法来攻击邮件服务器和企业VPN服务。该组织还使用 VPN 服务、Tor网络、被黑的 EdgeOS 路由器等匿名方法以及URL缩短服务等免费服务。匿名化还扩展到通过 Tor 或 VPN 从受感染的电子邮件帐户发送的网络钓鱼电子邮件。

于 2023 年 3 月修复的 严重漏洞 CVE-2023-23397 （CVSS 评分：9.8） 允许 Pawn Storm 对 Outlook 用户进行中继攻击。利用该漏洞，该组织发送了特殊的日历邀请，从而引发了 Net-NTLMv2 攻击。该活动一直持续到 2023 年 8 月，使用 Mockbin 上托管的脚本和重定向到免费 Web 托管域上的 PHP 脚本的 URL 变得越来越复杂。

Pawn Storm还利用WinRAR漏洞 CVE-2023-38831 （CVSS评分：7.8）进行中继攻击。2023 年末，黑客利用“webhook[.]site”URL 和 VPN IP 地址针对欧洲政府开展了凭证盗窃网络钓鱼活动。除了 Pawn Storm 之外，其他几个 APT 组织 也利用该漏洞

2022 年 10 月，Pawn Storm 还使用了信息窃取程序，而无需连接到命令和控制 ( C2 ) 服务器。这种简单但有效的方法是将被盗文件上传到免费文件托管服务，使用缩短的 URL 进行访问。

2023 年 3 月，微软安全团队 发现了 Microsoft Outlook 中的一个严重漏洞。该漏洞的标识符为 CVE-2023-23397，允许攻击者窃取 Net-NTLMv2 哈希值并获取用户帐户的访问权限。特别危险的是充满了专门准备的电子邮件，打开后，用户的 Net-NTLMv2 哈希值将传输给攻击者。