Rus ordusuyla bağlantılı bir casusluk grubu, sistemleri tehlikeye atmak ve NATO ülkelerinin yanı sıra Orta Doğu’daki Birleşik Arap Emirlikleri (BAE) ve Ürdün’deki devlet kurumlarından istihbarat toplamak amacıyla Microsoft Outlook’taki sıfır tıklama güvenlik açığını kullanmaya devam ediyor .
Daha çok Orman Blizzard olarak bilinen Savaşan Ursa grubunun Eylül ve Ekim aylarında gerçekleştirdiği son saldırılar, APT28 veya Süslü Ayı — tehlikeli Outlook ayrıcalık yükseltme güvenlik açığını kullanan üçüncü dalgadır ve şu şekilde izlenir: CVE-2023-23397Bu, saldırganların, kurbanın Microsoft Outlook istemcisini kullanıcı etkileşimi olmadan saldırgan tarafından kontrol edilen bir sunucuya bağlanmaya zorlayarak kullanıcının parola karmasını çalmasına olanak tanır.
Ağ güvenliği firması Palo Alto Networks, gelişmiş kalıcı tehdit (APT) şu ana kadar 14 ülkede en az 30 kuruluşu bu hatadan yararlanarak hedef aldı. bir analizde belirtilen Saldırılar, enerji üretimi ve dağıtımı, petrol ve gaz boru hatları ile ilgili kuruluşlar ile savunma, ekonomi, iç ve dış ilişkilerden sorumlu hükümet bakanlıklarına odaklanıyor.
Michael, “Bir ulusun veya endüstrinin bir ulus-devlet APT aktörü tarafından risk altında olduğundan şüphelenmek başka bir şeydir; bir APT’nin kampanyalarını derinlemesine inceleyebilmek ve hangi ulusların ve endüstrilerin hedef alındığına dair somut gözlemler sağlayabilmek başka bir şey” diyor. Sikorski, Palo Alto Networks’teki Birim 42 tehdit istihbarat ekibinin başkan yardımcısı ve baş teknoloji sorumlusu. “Her üç harekât boyunca hedef alınan 14 ülkeden 11’inin NATO üyesi olduğu göz önüne alındığında, NATO, Ukrayna ve müttefiklerine ilişkin istihbaratın Rus ordusu için yüksek bir öncelik olmaya devam ettiğini değerlendiriyoruz.”
NATO, Ukrayna ve Orta Doğu’yu hedef alıyoruz
Güvenlik açığını hedef alan casusluk kampanyaları üç dalga halinde gerçekleştirildi: Mart ve Aralık 2022 arasında Outlook hatasını sıfır gün kusuru olarak kullanan ilk dalga, daha sonra bu yılın Mart ayında soruna yönelik yamanın ardından ve en son kampanya, Palo Alto Networks’ün analizine göre Eylül ve Ekim ayları. Hedefler dokuz kişiden birini içeriyordu NATO Hızlı Konuşlandırılabilir KolorduFirma, doğal afet, terörle mücadele ve savaş dahil olmak üzere çeşitli olaylara hızlı müdahaleye odaklanan bir birim olduğunu belirtti.
Birçok firmadaki araştırmacılar, APT’yi, Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü (GRU) olarak da bilinen Rusya Federasyonu askeri istihbarat teşkilatının 26165 Birimine bağladı.
Microsoft, “Forest Blizzard, yeni özel teknikler ve kötü amaçlı yazılımlar kullanarak ayak izini sürekli olarak geliştiriyor, bu da onun iyi kaynaklara sahip ve iyi eğitimli bir grup olduğunu ve faaliyetlerini ilişkilendirme ve izleme konusunda uzun vadeli zorluklarla karşı karşıya olduğunu gösteriyor.” dedi. 4 Aralık’ta güncellenen bir analiz.
Microsoft, saldırıyı araştırmak ve saldırganlara karşı hafifletici önlemler geliştirmek için Polonya Siber Komutanlığı ile birlikte çalıştı. Polonya, Görünüm sömürüsü kampanyasının hedef aldığı ülkelerden biri.
CVE-2023-23397: Artık Sıfır Gün Değil, Ama Hala Değerli
İlk olarak Mart ayında yamalanan Microsoft Outlook güvenlik açığı, özel hazırlanmış bir e-postanın kullanıcıların Net-NTLMv2 karmalarının sızıntısını tetiklemesine olanak tanıyor ve herhangi bir kullanıcı etkileşimi gerektirmiyor. Saldırgan, bu karmaları kullanarak NTLM kimlik doğrulamasını destekleyen diğer sistemlerde kurban olarak kimlik doğrulayabilir.
Microsoft, orijinal güvenlik açığı sorununu, Outlook istemcisinin kötü amaçlı bağlantılar kurmasını esasen engelleyen bir düzeltme ekiyle giderdi. Ancak kısa süre sonra düzeltmeyi inceleyen Akamai’den bir araştırmacı, ilgili Internet Explorer bileşeninde yamayı tamamen atlamasına olanak tanıyan başka bir sorun buldu. Microsoft, yeni hata için ayrı bir tanımlayıcı atadı (CVE-2023-29324) ve bunun için bir yama yayınladı Mayıs Yaması Salı sürümü.
Bazılarının tabiriyle son saldırılarda 2023’ün “Bu” hatası, Palo Alto Networks analizinde, bu davranışın “bu operasyonlar tarafından üretilen erişim ve istihbaratın, halka açık gezi ve keşif sonuçlarından daha ağır bastığını” öne sürdüğünü belirtti.
Sikorski, Palo Alto Networks’ün müşterilerini güvenlik açığını düzeltmeye çağırdığını, ancak şirketin kaç veya ne kadar az şirketin savunma önlemi aldığına dair hiçbir verisinin olmadığını söylüyor.
“Bu CVE’yi duyurulduğundan beri takip ediyoruz ve aynı zamanda Ukrayna’nın işgali öncesinden beri Rusya’nın tehdit faaliyetlerini de yakından izliyoruz” diyor. “Fighting Ursa’nın bu güvenlik açığına karşı devam eden istismar girişimlerine dayanarak, kuruluşların sistemlerini ya yamalamada başarısız olduklarını ya da sistemlerini yanlış yapılandırdıklarını değerlendiriyoruz.”
Fancy Bear’ın yararlandığı tek güvenlik açığı Outlook güvenlik açığı değil. Microsoft’un analizi, grubun aynı zamanda bir WinRAR arşivleme yardımcı programında güvenlik açığı (CVE 2023-38831) Eylül başında ve son aylarda altı yazılım hatası daha ortaya çıktı.
