Rosyjska grupa cyberprzestępcza APT28 ponownie wykorzystuje podatność w MS Outlook

Badacze PaloAlto Unit42 informują o kolejnej kampanii grupy cyberprzestępczej APT 28, znanej również jako Fancy Bear, Fighting Ursa, która wykorzystała krytyczną podatność zero-day z marca 2023, w aplikacji MS Outlook CVE-2023-23397. Luka ta jest szczególnie niebezpieczna, gdyż może doprowadzić do pozyskania poświadczeń bez interakcji użytkownika. Obecna kampania skierowana była głównie na kraje członkowskie NATO i obejmowała podmioty z sektora produkcji, dystrybucji energii, rurociągi, transport, telekomunikacja, Ministerstwa Obrony, Spraw Zagranicznych, Gospodarki oraz co najmniej jeden Korpus Szybkiego Rozmieszczenia NATO. Do ataku wykorzystano wiadomość e-mail wysłaną z konta publicznej usługi poczty portugalmail.pt, wykorzystującą lukę CVE-2023-23397, program MS Outlook wysyła wiadomość uwierzytelniającą NTLM do zdalnego zasobu plików grupy cyberprzestępczej, dającą możliwość podszywania się pod zaatakowaną osobę.

IOC rozpoznanie i korelacje szkodliwych działań z jednego adresu IP