威胁情报信息分享|微软警告克里姆林宫支持的APT28利用关键Outlook漏洞

微软周一表示，它检测到克里姆林宫背后的国家级活动，利用其Outlook电子邮件服务中一个现已修补的关键安全漏洞，未经授权访问Exchange服务器中受害者的账户。

这家科技巨头将入侵行为归咎于它称之为Forest Blizzard（以前叫Strontium）的威胁行为者，该行为者也被广泛追踪，其别名包括APT28、BlueDelta、Fancy Bear、FROZENLAKE、Iron Twilight、Sednit和Sofacy。

所涉及的安全漏洞是CVE-2023-23397（CVSS评分：9.8），一个关键的权限提升漏洞，可能允许对手访问用户的Net-NTLMv2哈希，然后用于对另一个服务发起中继攻击以验证为该用户。该漏洞已于2023年3月由微软修补。

根据波兰网络指挥部（DKWOC）的说法，这样做的目的是为了获取对公共和私人实体在该国的邮箱的未经授权的访问。

“在恶意活动的下一阶段，对手修改了受害者邮箱中的文件夹权限，”DKWOC说。“在大多数情况下，修改是将'默认'组（Exchange组织中所有经过身份验证的用户）的默认权限从'无'改为'所有者'。”

这样做后，被授予此权限的邮箱文件夹的内容可以被组织内任何经过认证的人员阅读，使威胁行为者能够从高价值目标中提取有价值的信息。

“应该强调的是，引入这样的修改允许即使在失去对它的直接访问后，仍然保持对邮箱内容的未经授权的访问，”DKWOC补充说。

微软此前披露，该安全缺陷已被俄罗斯基地的威胁行为者作为零日在攻击中武器化，自2022年4月以来针对欧洲的政府、交通、能源和军事部门。

随后，在2023年6月，网络安全公司Recorded Future揭露了由APT28策划的一场利用开源Roundcube webmail软件中的多个漏洞的网络钓鱼活动的细节，同时指出该活动与利用微软Outlook漏洞的活动重叠。

法国国家网络安全局（ANSSI）在10月下旬还指责该黑客组织自2021年下半年以来，利用各种漏洞，包括CVE-2023-23397，攻击政府实体、企业、大学、研究所和智库，以部署如CredoMap之类的植入物。

这个国家支持的团体被评估与俄罗斯联邦武装力量总参谋部主要局（GRU）的26165单位有关，GRU是国防部的外国情报部门。

近几个月，它还与法国和乌克兰的各种组织的攻击以及利用WinRAR漏洞（CVE-2023-38831）使用名为IRONJAW的PowerShell脚本窃取浏览器登录数据有关。

“Forest Blizzard不断通过采用新的自定义技术和恶意软件来完善其足迹，这表明它是一个资源丰富、训练有素的团队，对于归因和追踪其活动构成长期挑战，”微软说。

微软Outlook在企业环境中的普及使其成为一个有利的攻击向量，使其成为“引入各种网络威胁到组织的关键‘门户’之一，”Check Point说，它列出了该服务可能被恶意行为者滥用以交付其漏洞的各种手段。

此消息发布之际，《卫报》报道称，英国的塞拉菲尔德核废料场自2015年起就被与俄罗斯有关的黑客团伙入侵，部署了“休眠恶意软件”。然而，英国政府表示，它没有发现其网络已被“国家行为者成功攻击”的证据。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|微软警告克里姆林宫支持的APT28利用关键Outlook漏洞