Rus APT28 askeri bilgisayar korsanları, NATO hızlı bir şekilde konuşlandırılabilir kolordu dahil olmak üzere birden fazla Avrupa NATO üyesi ülkeyi hedeflemek için Microsoft Outlook sıfır gün istismarlarını kullandı.
Palo Alto Networks 'Birimi 42'den araştırmacılar, Rusya'nın askeri ve hükümeti için olası stratejik zeka önemi olduğu düşünülen 14 ülkede en az 30 organizasyona karşı üç kampanyada yaklaşık 20 ay boyunca CVE-2023-23397 güvenlik açığından yararlanmalarını gözlemlediler.
Rus hackerlar aynı zamanda Ursa, Fantezi Ayı ve Sofacy ile savaşıyor ve daha önce ülkenin Askeri İstihbarat Servisi olan Rusya'nın Ana İstihbarat Müdürlüğü'ne (GRU) bağlantılı.
Rusya'nın Ukrayna'nın Ukrayna Devlet Göç Hizmetini hedeflemek için Ukrayna'yı işgal etmesinden üç hafta sonra Mart 2022'de Outlook Güvenlik Kusurunu sıfır gün olarak kullanmaya başladılar.
Nisan ortası ile Aralık 2022 arasında, Rusya'nın Ukrayna'yı işgalini desteklemek için potansiyel olarak askeri istihbarat içeren e-postaları çalmak için Avrupa'daki yaklaşık 15 hükümet, askeri, enerji ve ulaşım örgütü ağlarını ihlal ettiler.
Microsoft, bir yıl sonra, Mart 2023'te sıfır gününü yamalamasına ve bir Rus hackleme grubuna bağlı olmasına rağmen, APT28 operatörleri, tehlikeye atılan ağlardan yanal olarak hareket etmelerini sağlayan kimlik bilgilerini çalmak için CVE-2023-23397 istismarlarını kullanmaya devam etti.
Saldırı yüzeyi, tüm Outlook Windows sürümlerini etkileyen bir bypass'ın (CVE-2023-29324) ortaya çıktığı Mayıs ayında daha da arttı.
Bugün 42. Birim, saldırıya uğramış Avrupa ülkeleri arasında, belirlenen tüm ülkelerin Ukrayna hariç şu anki Kuzey Atlantik Antlaşma Örgütü (NATO) üyeleri olduğunu söyledi.
En az bir NATO hızlı konuşlandırılabilir kolordu (NATO kuvvetlerini komuta etmek için hızlı konuşlandırılabilen yüksek hazırlık kuvveti merkezi) de hedeflendi.
Ayrıca, Avrupa savunması, dış ilişkiler ve içişleri kuruluşlarının ötesinde, APT28'in odak noktası enerji üretimi ve dağıtımına, boru hattı altyapı operasyonlarına ve malzeme taşıma, personel ve hava taşımacılığına katılan kritik altyapı kuruluşlarına yayıldı.
Ünite 42, "Bir hedefe karşı sıfır gün istismarı kullanmak, bunun önemli bir değere sahip olduğunu gösterir. Ayrıca, o hedef için mevcut erişim ve zekanın o zaman yetersiz olduğunu göstermektedir." Dedi.
"İkinci ve üçüncü kampanyalarda, Fighting Ursa, tekniklerini değiştirmeden kendilerine zaten atfedilen halka açık bir istismar kullanmaya devam etti. Bu, bu operasyonlar tarafından üretilen erişim ve zekanın halka açık gezi ve keşif sonuçlarından daha ağır bastığını gösteriyor.
Diyerek şöyle devam etti: "Bu nedenlerden dolayı, her üç kampanyayı da hedefleyen kuruluşlar büyük olasılıkla Rus zekası için normalden daha yüksekti."
Ekim ayında, Fransız Siber Güvenlik Ajansı (ANSSI), Rus hackerların görünüm güvenlik kusurunu hükümet organlarına, şirketlere, eğitim kurumlarına, araştırma merkezlerine ve Fransa'daki düşünce kuruluşlarına saldırmak için kullandığını açıkladı.
Bu hafta, Birleşik Krallık ve Müttefikler Beş Göz İstihbarat İttifakı'nın bir kısmı, Callisto Grubu, Seaborgium ve Star Blizzard olarak izlenen bir Rus tehdit grubunu Rusya'nın 'Center 18' Federal Güvenlik Servisi (FSB) bölümüne bağladı.
Microsoft'un tehdit analistleri, tehdit aktörleri tarafından gözetim ve hasat e -postaları için kullanılan Microsoft hesaplarını devre dışı bırakarak çeşitli Avrupa Nato ülkelerini hedefleyen Callisto saldırılarını engellediler.
ABD hükümeti şimdi Callisto üyeleri ve faaliyetleri hakkında bilgi için 10 milyon dolarlık bir ödül sunuyor.
Rus hackerlar, değişim hesaplarını ele geçirmek için Outlook Hatası'nı sömürüyor
Microsoft, Nisan 2022'den bu yana Rus hackerlar tarafından kullanılan Outlook Zero Day'i düzeltiyor
İngiltere ve Müttefikler Rus FSB Hacking Group, Yaptırım Üyeleri
Ukrayna, Rus havacılık ajansını saldırıya uğrattığını söylüyor, sızıntıları
Gamaredon'un Littledrifter USB kötü amaçlı yazılımları Ukrayna'nın ötesine yayılıyor
Kaynak: Bleeping Computer