Ρώσοι χάκερ που εκμεταλλεύονται το σφάλμα του Outlook για να κλέψουν λογαριασμούς του Exchange

Η ομάδα Threat Intelligence της

Microsoft

εξέδωσε μια προειδοποίηση νωρίτερα σήμερα σχετικά με τον Ρώσο κρατικό ηθοποιό APT28 (γνωστός και ως “Fancybear” ή “Strontium”) που εκμεταλλεύεται ενεργά το ελάττωμα του CVE-2023-23397 του Outlook για να παραβιάσει λογαριασμούς Microsoft Exchange και να κλέψει ευαίσθητες πληροφορίες.

Οι στοχευόμενες οντότητες περιλαμβάνουν την κυβέρνηση, την

ενέργεια

, τις μεταφορές και άλλους βασικούς οργανισμούς στις Ηνωμένες Πολιτείες, την Ευρώπη και τη Μέση Ανατολή.

Ο τεχνολογικός γίγαντας τόνισε επίσης την εκμετάλλευση άλλων τρωτών σημείων με δημόσια διαθέσιμα

exploits

στις ίδιες επιθέσεις, όπως το CVE-2023-38831 στο WinRAR και το CVE-2021-40444 στο Windows MSHTML.

Υπόβαθρο εκμετάλλευσης ελαττωμάτων του Outlook

Το CVE-2023-23397 είναι μια κρίσιμη ανύψωση της ευπάθειας προνομίων (EoP) στο Outlook στα Windows, την οποία η Microsoft διόρθωσε ως μηδενική ημέρα την Τρίτη διαδρομής Μαρτίου 2023.

Η αποκάλυψη του ελαττώματος ήρθε με την αποκάλυψη ότι το APT28 το εκμεταλλευόταν από τον Απρίλιο του

2022

μέσω ειδικά διαμορφωμένων σημειώσεων του Outlook που έχουν σχεδιαστεί για να κλέβουν κατακερματισμούς NTLM, αναγκάζοντας τις συσκευές-στόχους να ελέγχουν την ταυτότητα σε μετοχές SMB που ελέγχονται από τους εισβολείς χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.

Αυξάνοντας τα προνόμιά του στο σύστημα, το οποίο αποδείχθηκε ότι δεν ήταν πολύπλοκο, το APT28 πραγματοποίησε πλευρική κίνηση στο περιβάλλον του θύματος και άλλαξε τα δικαιώματα γραμματοκιβωτίου του Outlook για να πραγματοποιήσει στοχευμένη κλοπή

email

.

Παρά τη διαθεσιμότητα ενημερώσεων ασφαλείας και συστάσεων μετριασμού, η επιφάνεια επίθεσης παρέμεινε σημαντική και η παράκαμψη της επιδιόρθωσης (CVE-2023-29324) που ακολούθησε τον Μάιο επιδείνωσε την κατάσταση.

Η Recorded Future προειδοποίησε τον Ιούνιο ότι το APT28 πιθανότατα χρησιμοποίησε το ελάττωμα του Outlook σε βασικούς ουκρανικούς οργανισμούς. Τον Οκτώβριο, η γαλλική υπηρεσία κυβερνοασφάλειας (ANSSI) αποκάλυψε ότι οι Ρώσοι χάκερ είχαν χρησιμοποιήσει την επίθεση μηδενικού κλικ εναντίον κυβερνητικών φορέων, επιχειρήσεων, πανεπιστημίων, ερευνητικών ινστιτούτων και δεξαμενών σκέψης στη Γαλλία.

Οι επιθέσεις συνεχίζονται ακόμη

της Microsoft

τελευταία προειδοποίηση

υπογραμμίζει ότι οι χάκερ της GRU εξακολουθούν να χρησιμοποιούν το CVE-2023-38831 σε επιθέσεις, επομένως υπάρχουν ακόμα συστήματα εκεί έξω που παραμένουν ευάλωτα στο κρίσιμο ελάττωμα EoP.

Η τεχνολογική εταιρεία σημείωσε επίσης το έργο του Πολωνικού Κέντρου Διοίκησης Κυβερνοχώρου (DKWOC) για να βοηθήσει στον εντοπισμό και τον τερματισμό των επιθέσεων. DKWOC επίσης

δημοσίευσε μια ανάρτηση

περιγράφοντας τη δραστηριότητα APT28 που αξιοποιεί το CVE-2023-38831.

Η προτεινόμενη ενέργεια που πρέπει να κάνετε αυτήν τη στιγμή, που παρατίθεται κατά προτεραιότητα, είναι η εξής:

• Εφαρμόστε τα διαθέσιμα
  
  ενημερώσεις ασφαλείας
  
  για το CVE-2023-23397 και το bypass του CVE-2023-29324.
• Χρησιμοποίησε αυτό
  
  σενάριο από τη Microsoft
  
  για να ελέγξετε εάν κάποιοι χρήστες του Exchange έχουν στοχευτεί.
• Επαναφέρετε τους κωδικούς πρόσβασης των παραβιασμένων χρηστών και ενεργοποιήστε το MFA (πολυπαραγοντικός έλεγχος ταυτότητας) για όλους τους χρήστες.
• Περιορίστε την κίνηση SMB αποκλείοντας τις συνδέσεις στις θύρες 135 και 445 από όλες τις εισερχόμενες διευθύνσεις IP
• Απενεργοποιήστε το NTLM στο περιβάλλον σας.

Δεδομένου ότι το APT28 είναι μια ομάδα απειλών με υψηλή επινοητικότητα και προσαρμογή, η πιο αποτελεσματική αμυντική στρατηγική είναι να μειωθεί η επιφάνεια επίθεσης σε όλες τις διεπαφές και να διασφαλιστεί ότι όλα τα προϊόντα λογισμικού ενημερώνονται τακτικά με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας.