俄罗斯 APT28 利用 Microsoft Outlook 漏洞攻击捷克、德国实体

捷克和德国周五透露，它们是与俄罗斯有联系的APT28黑客组织进行的长期网络间谍活动的目标，此举引起了欧盟 (EU)、北约 (NATO) 的谴责。

捷克共和国外交部 (MFA) 在一份声明中表示，该国一些未透露姓名的实体因去年初曝光的 Microsoft Outlook 安全漏洞而遭到攻击。

所涉及的安全漏洞是CVE-2023-23397，这是 Outlook 中现已修补的一个关键权限提升漏洞，可能允许攻击者访问 Net-NTLMv2 哈希值，然后使用它们通过中继攻击来验证自己的身份。

德国政府将攻击者归咎于针对社会民主党执行委员会的网络攻击，该攻击在“相对较长的时间内”使用相同的 Outlook 漏洞，使其能够“危害大量电子邮件帐户”。

该活动针对的一些垂直行业包括位于德国、乌克兰和欧洲的物流、军备、航空航天工业、IT 服务、基金会和协会，联邦监管机构还暗示该组织参与了 2015 年对德国联邦议会的攻击行动。

APT28 经评估与俄罗斯联邦军事情报机构 GRU 的军事单位 26165 有联系，也被更广泛的网络安全社区命名为：BlueDelta、Fancy Bear、Forest Blizzard（以前称为 Strontium）、FROZENLAKE、Iron Twilight、Pawn Storm、 Sednit、Sofacy 和 TA422。

上月末，微软将黑客组织归因于利用 Microsoft Windows Print Spooler 组件（CVE-2022-38028，CVSS 评分：7.8）作为0day漏洞攻击，传播一种名为 GooseEgg 的先前未知的自定义恶意软件，以渗透乌克兰、欧洲和北美的政府、非政府、教育和交通部门机构。

今年 2 月初，协调一致的多国联合执法行动破坏了由美国和德国数百个小型办公室和家庭办公室 (SOHO) 路由器组成的僵尸网络，APT28 攻击者据信利用这些路由器来隐藏其恶意活动，例如利用 CVE -2023-23397 针对感兴趣的目标。

根据Trend Micro 本周的一份报告（https://www.trendmicro.com/en_us/research/24/e/router-roulette.html），第三方犯罪代理僵尸网络可以追溯到 2016 年，不仅包含Ubiquiti 的路由器，还包括其他基于 Linux 的路由器、Raspberry Pi 和虚拟专用服务器 (VPS) 。

“[僵尸网络背后的]攻击者设法将一些 EdgeRouter 机器人从 2024 年 1 月 26 日关闭的 C&C [命令与控制]服务器转移到 2024 年 2 月上旬新建立的 C&C 基础设施。”该公司表示，加上法律限制和技术挑战，无法彻底清理所有陷入困境的路由器。

俄罗斯国家支持的网络威胁活动——数据盗窃、破坏性攻击、DDoS 活动和影响行动——预计也会对 APT44 等多个组织的美国、英国和欧盟等地区构成严重风险。根据 Google Cloud 子公司 Mandiant 上周发布的评估，该软件还包括 Sandworm、COLDRIVER、KillNet、APT29 和 APT28。

来自 Cloudflare 和 NETSCOUT 的数据显示，在瑞典加入北约联盟后，针对瑞典的 DDoS 攻击激增，这与芬兰 2023 年加入北约期间观察到的模式类似。

NETSCOUT表示：“这些攻击的罪魁祸首可能包括黑客组织 NoName057、Anonymous Hundred、Russian Cyber Army Team 和 KillNet。” “所有这些团体都是出于政治动机。”

与此同时，加拿大、英国和美国的政府机构发布了一份新的联合情况说明书（https://www.cisa.gov/news-events/alerts/2024/05/01/cisa-and-partners-release-fact-sheet-defending-ot-operations-against-ongoing-pro-russia-hacktivist），以帮助保护关键基础设施组织免受明显亲俄罗斯的黑客活动分子自 2022 年起采用技术 (OT) 系统针对工业控制系统（ICS）和小规模运营系统发起的持续攻击。

这些机构表示：“亲俄黑客活动似乎主要局限于操纵 ICS 设备以造成滋扰影响的简单技术。” “调查发现，攻击者能够使用对不安全和配置错误的 OT 环境构成物理威胁的技术。”

这些攻击的目标包括北美和欧洲关键基础设施部门的组织，包括供水和废水系统、水坝、能源以及粮食和农业部门。

据观察，黑客组织通过利用暴露在互联网的连接以及与此类环境中普遍存在的人机界面（HMI）相关的工厂默认密码来获得远程访问，然后篡改任务关键参数，关闭警报机制，通过更改管理密码来锁定操作员。

缓解威胁的建议包括强化人机界面、限制 OT 系统在互联网上的暴露、使用强而独特的密码，以及对 OT 网络的所有访问实施多因素身份验证。

警报称：“这些黑客活动分子试图通过人机界面（HMI）等软件组件，利用虚拟网络计算（VNC）远程访问软件和默认密码来破坏模块化、暴露于互联网的工业控制系统（ICS）。”

参考链接：https://thehackernews.com/2024/05/microsoft-outlook-flaw-exploited-by.html