Microsoft Pazartesi günü yaptığı açıklamada, kurbanların Exchange sunucularındaki hesaplarına yetkisiz erişim sağlamak için Outlook e-posta hizmetinde artık yamalanmış kritik bir güvenlik açığından yararlanan Kremlin destekli ulus devlet faaliyetinin tespit edildiğini söyledi.
Teknoloji devi atfedilen tehdit aktörüne yapılan izinsiz girişler Orman Kar Fırtınası (eski adıyla Strontium), aynı zamanda APT28, BlueDelta, Fancy Bear, FROZENLAKE, Iron Twilight, Sednit, Sofacy ve TA422 takma adlarıyla da geniş çapta takip edilmektedir.
Söz konusu güvenlik açığı CVE-2023-23397’dir (CVSS puanı: 9,8), bir saldırganın bir kullanıcının Net-NTLMv2 karmasına erişmesine izin verebilecek ve daha sonra başka bir hizmete karşı aktarma saldırısı gerçekleştirmek için kullanılabilecek kritik bir ayrıcalık yükseltme hatasıdır. kullanıcı olarak kimlik doğrulaması yapın. Mart 2023’te Microsoft tarafından yama uygulandı.
Polonya Siber Komutanlığı’na (DKWOC) göre amaç, ülkedeki kamu ve özel kuruluşlara ait posta kutularına yetkisiz erişim elde etmektir.
Kodu Kırmak: Siber Saldırganların İnsan Psikolojisinden Nasıl Yararlandığını Öğrenin
Sosyal mühendisliğin neden bu kadar etkili olduğunu hiç merak ettiniz mi? Yaklaşan web seminerimizde siber saldırganların psikolojisinin derinliklerine dalın.
DKWOC, “Kötü amaçlı etkinliğin bir sonraki aşamasında, saldırgan, kurbanın posta kutusundaki klasör izinlerini değiştirir.” söz konusu. “Çoğu durumda, değişiklikler ‘Varsayılan’ grubun (Exchange organizasyonundaki kimliği doğrulanmış tüm kullanıcılar) varsayılan izinlerini ‘Yok’tan ‘Sahip’e değiştirmek içindir.”
Bunu yaparken, bu izne sahip olan posta kutusu klasörlerinin içerikleri kuruluş içindeki kimliği doğrulanmış herhangi bir kişi tarafından okunabilir ve böylece tehdit aktörünün yüksek değerli hedeflerden değerli bilgiler elde etmesi sağlanır.
DKWOC, “Bu tür değişikliklerin uygulanmasının, doğrudan erişimi kaybettikten sonra bile posta kutusunun içeriğine yetkisiz erişimin sürdürülmesine izin verdiği vurgulanmalıdır.” diye ekledi.
Microsoft daha önce güvenlik açığının Rusya merkezli tehdit aktörleri tarafından Nisan 2022’den bu yana Avrupa’daki hükümet, ulaşım, enerji ve askeri sektörleri hedef alan saldırılarda sıfır gün olarak silah haline getirildiğini açıklamıştı.
Daha sonra, Haziran 2023’te siber güvenlik firması Recorded Future, APT28 tarafından düzenlenen ve açık kaynaklı Roundcube web posta yazılımındaki birden fazla güvenlik açığından yararlanan hedef odaklı kimlik avı kampanyasının ayrıntılarını ortaya çıkardı ve aynı zamanda kampanyanın Microsoft Outlook güvenlik açığını kullanan etkinlikle örtüştüğünü de belirtti.
Fransa Ulusal Siber Güvenlik Ajansı (ANSSI), Ekim ayı sonlarında da suçlandı CVE-2023-23397’yi de içeren çeşitli kusurlardan yararlanarak 2021’in ikinci yarısından bu yana devlet kurumlarını, işletmeleri, üniversiteleri, araştırma enstitülerini ve düşünce kuruluşlarını hedef alan bilgisayar korsanlığı ekibi, implantlar CredoMap gibi.
Devlet destekli grubun, Rusya Federasyonu Silahlı Kuvvetleri (GRU) Genelkurmay Başkanlığı Ana Müdürlüğünün 26165 numaralı Birimi ile bağlantılı olduğu değerlendiriliyor. dış istihbarat kolu Savunma Bakanlığı’nın.
Son aylarda, Fransa ve Ukrayna’daki çeşitli kuruluşlara yönelik saldırıların yanı sıra, IRONJAW adlı bir PowerShell betiği kullanarak tarayıcı oturum açma verilerini çalmak için WinRAR kusurunun (CVE-2023-38831) kötüye kullanılmasıyla da ilişkilendirildi.
Siber güvenlik şirketi Proofpoint, bağımsız analiz2023 yılının Mart sonu ve Eylül ayında Avrupa ve Kuzey Amerika’daki hedeflere yönelik sırasıyla CVE-2023-23397 ve CVE-2023-38831’den yararlanan yüksek hacimli kimlik avı kampanyaları gözlemlediğini söyledi.
Greg, “Eylemleri, düşmana stratejik çıkar sağlayan, kolayca istismar edilebilir ağları keşfetmeye çalıştıklarını gösteriyor; ancak Ağustos 2023’ten bu yana toplam 10.000’den fazla olan e-posta miktarının taktiksel bir karar mı yoksa operatör hatası mı olduğu belirsiz.” Proofpoint’in kıdemli tehdit araştırmacısı Lesnewich, The Hacker News’e şunları söyledi:
“Ne olursa olsun, bu kampanyalarda kullanılan yükler, taktikler ve teknikler, TA422’nin hedeflenen ağlarda kalıcı erişim için derlenmiş kötü amaçlı yazılımlardan daha hafif, kimlik bilgisi odaklı erişime doğru nihai geçişini yansıtıyor.”
Microsoft, “Forest Blizzard, yeni özel teknikler ve kötü amaçlı yazılımlar kullanarak ayak izini sürekli olarak geliştiriyor, bu da onun iyi kaynaklara sahip ve iyi eğitimli bir grup olduğunu ve faaliyetlerini ilişkilendirme ve izleme konusunda uzun vadeli zorluklarla karşı karşıya olduğunu gösteriyor” dedi.
Check Point’e göre Microsoft Outlook’un kurumsal ortamlardaki popülaritesi, kazançlı bir saldırı vektörü olarak hizmet ediyor ve bu da onu “çeşitli siber tehditleri kuruluşlara sokmaktan sorumlu kritik ‘ağ geçitlerinden’ biri” yapıyor. çeşitli araçları ortaya koydu hizmetin kötü aktörler tarafından istismarlarını sağlamak için kötüye kullanılması.
Gelişme The Guardian olarak geliyor rapor edildi Birleşik Krallık’taki Sellafield nükleer atık sahasının, 2015 yılında “uyuyan kötü amaçlı yazılım” dağıtmak üzere Rusya ve Çin’le bağlantılı bilgisayar korsanlığı ekipleri tarafından ihlal edildiği belirtildi. Ancak Birleşik Krallık hükümeti, söz konusu ağlarının “devlet aktörleri tarafından başarılı bir şekilde saldırıya uğradığını” gösteren hiçbir kanıt bulamadı.
Güncelleme
Palo Alto Networks Unit 42, 7 Aralık 2023’te yayınlanan bir takip teknik raporunda, APT28’i, CVE-2023-23397’yi kullanarak son 20 ay içinde 14 ülkedeki en az 30 kuruluşu hedef alan siber saldırılara bağladı.
Hacking ekibini Fighting Ursa olarak adlandıran siber güvenlik firması, saldırıların 18 Mart – 29 Aralık 2022, 15 – 29 Mart 2023 ve 30 Ağustos – 11 Ekim 2023 tarihleri arasında gerçekleşen üç kampanya dalgasına yayıldığını söyledi.
Birim 42, “Üç kampanya boyunca hedef alınan 14 ülkeden Ukrayna, Ürdün ve Birleşik Arap Emirlikleri dışındaki tüm ülkeler NATO üyesi ülkelerdeki kuruluşlardır.” kayıt edilmiş. “Bu kuruluşlar diplomatik, ekonomik ve askeri konularda bilgi avantajı sağlayan kritik altyapı ve kuruluşları içeriyordu.”
(Hikaye yayınlandıktan sonra Proofpoint ve Palo Alto Networks Unit 42’den gelen kampanyanın ek ayrıntılarını içerecek şekilde güncellendi.)