Microsoft Threat Intelligence випустила попередження про те, що російський державний актор APT28 (він же Fancybear або Strontium) активно використовує недолік CVE-2023-23397 Outlook для викрадення облікових записів Microsoft Exchange і конфіденційної інформації. Про це повідомляє Bleeping Computer.
Атаки спрямовані на державні, енергетичні, транспортні й інші ключові організації у Сполучених Штатах Америки, Європі та на Близькому Сході.
У Microsoft підтвердили використання інших вразливостей за допомогою загальнодоступних експлойтів у тих же атаках, включно із CVE-2023-38831 у WinRAR і CVE-2021-40444 у Windows MSHTML.
CVE-2023-23397 – це критична вразливість щодо підвищення привілеїв (EoP) в Outlook у Windows, яку корпорація Microsoft виправила як нульовий день у березні 2023 року.
Розкриття недоліку відбулося разом із виявленням того, що актор APT28 використовував його з квітня 2022 року за допомогою спеціально створених нотаток Outlook, призначених для викрадення хешів NTLM, змушуючи цільові пристрої автентифікуватися на контрольованих зловмисниками спільних ресурсах SMB, не вимагаючи при цьому взаємодії з користувачем.
Підвищивши свої привілеї в системі, що було нескладно, APT28 виконував бічне переміщення в середовищі жертви та змінював дозволи поштової скриньки Outlook для здійснення цілеспрямованої крадіжки електронної пошти.
Незважаючи на доступність оновлень безпеки та рекомендацій щодо пом’якшення впливу, масштаб атаки залишався значним, а спосіб виправлення CVE-2023-29324, який був випущений у травні, лише погіршив ситуацію.
У червні Recorded Future попередив, що APT28, імовірно, використав недолік Outlook проти ключових українських організацій.
У жовтні французьке Агентство з кібербезпеки (ANSSI) виявило, що російські хакери використовували атаку з нульовим кліком проти державних установ, компаній, університетів, дослідницьких інститутів та аналітичних центрів у Франції.
В останньому попередженні Microsoft підкреслюється, що російські хакери все ще використовують CVE-2023-38831 для атак, тому все ще існують системи, які залишаються вразливими до критичної помилки EoP.
Також у корпорації відзначили роботу Польського кіберкомандного центру (DKWOC), який допомагає виявляти та зупиняти атаки. DKWOC теж опублікував звіт з описом активності APT28, яка використовує CVE-2023-38831.
Рекомендовані дії, які слід виконати прямо зараз, перелічені за пріоритетністю:
- Застосуйте доступні оновлення безпеки для CVE-2023-23397 і його обхідного CVE-2023-29324.
- Використовуйте цей сценарій від Microsoft, щоб перевірити, чи є цільовими користувачі Exchange.
- Скиньте паролі зламаних користувачів та увімкніть MFA (багатофакторну автентифікацію) для всіх користувачів.
- Обмежте трафік SMB, заблокувавши підключення до портів 135 і 445 з усіх вхідних IP-адрес.
- Вимкніть NTLM у своєму середовищі.
Враховуючи те, що APT28 є надзвичайно адаптивною групою загроз, найефективнішою стратегією захисту є зменшення поверхні атаки через усі інтерфейси та забезпечення регулярного оновлення всіх програмних продуктів останніми виправленнями безпеки.
Раніше стало відомо, що російські хакери перейшли на технологію LOTL, щоб викликати відключення електроенергії.
Торік хакерська група Sandworm зламала українську критичну інфраструктуру під час атаки, для підготовки якої знадобилося менш ніж 4 місяці. Цим вона спровокувала відключення електроенергії, що було подвоєне ракетними ударами по таких об’єктах на території всієї країни.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!