Az APT28 néven nyomon követhető orosz állami támogatású szereplő egy zero-click Outlook sebezhetőséget használt ki a NATO országok tucatnyi szervezete elleni támadásokban – jelentette a Palo Alto Networks kiberbiztonsági cég.
A CVE-2023-23397 néven nyomon követhető sebezhetőséget 2023 márciusában javították, amikor a Microsoft aktív kihasználásra figyelmeztetett.
A „kritikus súlyosságú” besorolású biztonsági rést manipulált e-mail üzeneteken keresztül lehet kihasználni, és a kihasználás még azelőtt megtörténhet, hogy az e-mail megjelenne az előnézeti ablakban. Márciusban a Microsoft közölte, hogy egy orosz APT 2022 áprilisa óta használja ki a hibát, anélkül, hogy a támadásokat konkrét hackercsoportnak tulajdonította volna.
Egy új jelentésben a Palo Alto Networks feltárja, hogy az APT28, amelyet az orosz GRU katonai hírszerző szolgálathoz kapcsolnak, az elmúlt 20 hónapban 14 nemzet legalább 30 szervezetének megcélzására, legalább három rosszindulatú kampányban használta ki a sebezhetőséget. Az egyik 2022 márciusa és decembere között, a másik 2023 márciusában, a harmadik pedig 2023 szeptemberében és októberében futott.
A CVE-2023-23397-et kihasználó exploit első ismert példányát 2022. március 18-án, három héttel Ukrajna orosz megszállása után küldték el e-mailben, az ország Állami Migrációs Szolgálatát célozva.
„A mindhárom kampány során célba vett 14 nemzet közül mindegyik NATO-tagországon belüli szervezet, kivéve az ukrajnai, a jordániai és az Egyesült Arab Emírségekbeli szervezeteket” – írja a Palo Alto Networks.
A támadások célpontjai energetikai és közlekedési szervezetek, valamint védelmi, belügyi, külügyi és gazdasági minisztériumok voltak. Valamennyi áldozat nyilvánvalóan hírszerzési értékkel bír az orosz hadsereg számára.
A kiberbiztonsági cég megjegyzi, hogy a második és a harmadik kampány részeként az APT28 taktikaváltás nélkül folytatta az exploit használatát, ami arra utal, hogy az ezen műveletek által generált hozzáférés és hírszerzési információk fontosabbak, mint a nyilvánosságra kerülés és leleplezés következménye, és a célpontok a szokásosnál magasabb prioritást élveztek az orosz hírszerzés számára.
A kiberbiztonsági cég jelentése mindössze néhány nappal azután készült, hogy a Microsoft frissítette a megfigyelt támadásokról szóló márciusi útmutatóját, amelyben a CVE-2023-23397 kihasználását az APT28-nak tulajdonította.
A Fancy Bear, Pawn Storm, Sofacy, Sednit, Cyber Caliphate, Cyber Berkut, BlackEnergy, Voodoo Bear, Strontium, Tsar Team, Sandworm, Fighting Ursa és Forest Blizzard néven is nyomon követhető APT28-nak tulajdonítják az európai országok elleni kibertámadásokat, a 2016-os amerikai választások feltörését és számos más kibertámadást.
