Специалисты Microsoft Threat Intelligence предупредили, что русскоязычная хак-группа APT28 (она же Fancybear и Strontium) активно эксплуатирует уязвимость, обнаруженную и исправленную в Outlook в этом году, для взлома учетных записей Microsoft Exchange и кражи конфиденциальной информации.
По данным исследователей, с помощью этого бага хакеры атакуют правительственные организации, а также компании энергетического, транспортного и других ключевых секторов в США, Европе и на Ближнем Востоке.
Также подчеркивается, что ATP28 использует в своих кампаниях и другие уязвимости, для которых уже доступны эксплоиты, в том числе CVE-2023-38831 в WinRAR и CVE-2021-40444 в Windows MSHTML.
Напомним, что CVE-2023-23397 представляет собой критический баг (9,8 балла из 10 по шкале CVSS), связанный с повышением привилегий в Microsoft Outlook. При помощи специального письма проблема может вынудить целевое устройство подключиться к удаленному URL-адресу и передать хэш Net-NTLMv2 учетной записи Windows.
Уязвимость была исправлена в марте текущего года, и тогда специалисты Microsoft писали:
В компании предупреждали, что срабатывание уязвимости происходит еще до прочтения письма через панель предварительного просмотра, поскольку уязвимость «срабатывает автоматически, во время загрузки и обработки почтовым сервером».
Еще весной 2023 года стало известно, что эта проблема применялась APT28 в атаках на европейские правительственные, военные, энергетические и транспортные организации в период с середины апреля по декабрь 2022 года.
Хуже того, в мае 2023 года стало ясно, что вышедший патч для CVE-2023-23397 можно обойти (эта проблема получила собственный идентификатор — CVE-2023-29324), что дополнительно усугубило ситуацию, и в результате атаки продолжаются до сих пор.
По данным исследователей, с помощью этого бага хакеры атакуют правительственные организации, а также компании энергетического, транспортного и других ключевых секторов в США, Европе и на Ближнем Востоке.
Также подчеркивается, что ATP28 использует в своих кампаниях и другие уязвимости, для которых уже доступны эксплоиты, в том числе CVE-2023-38831 в WinRAR и CVE-2021-40444 в Windows MSHTML.
Напомним, что CVE-2023-23397 представляет собой критический баг (9,8 балла из 10 по шкале CVSS), связанный с повышением привилегий в Microsoft Outlook. При помощи специального письма проблема может вынудить целевое устройство подключиться к удаленному URL-адресу и передать хэш Net-NTLMv2 учетной записи Windows.
Уязвимость была исправлена в марте текущего года, и тогда специалисты Microsoft писали:
В компании предупреждали, что срабатывание уязвимости происходит еще до прочтения письма через панель предварительного просмотра, поскольку уязвимость «срабатывает автоматически, во время загрузки и обработки почтовым сервером».
Еще весной 2023 года стало известно, что эта проблема применялась APT28 в атаках на европейские правительственные, военные, энергетические и транспортные организации в период с середины апреля по декабрь 2022 года.
Хуже того, в мае 2023 года стало ясно, что вышедший патч для CVE-2023-23397 можно обойти (эта проблема получила собственный идентификатор — CVE-2023-29324), что дополнительно усугубило ситуацию, и в результате атаки продолжаются до сих пор.
