Microsoft alerta sobre atividades do APT28 explorando falha no Outlook
A Microsoft detectou atividades de um grupo apoiado pelo Kremlin, conhecido como APT28, que está explorando uma falha crítica de segurança no serviço de e-mail Outlook para obter acesso não autorizado às contas dos usuários em servidores Exchange. A vulnerabilidade, identificada como CVE-2023-23397 (pontuação CVSS: 9.8), foi corrigida pela Microsoft em março de 2023.
O grupo modifica as permissões das pastas de e-mail das vítimas, permitindo que qualquer pessoa autenticada na organização leia o conteúdo das pastas de e-mail que receberam essa permissão. Isso permite que o APT28 mantenha acesso não autorizado ao conteúdo das caixas de correio, mesmo após perder o acesso direto. O APT28 também foi responsável por uma campanha de spear-phishing que explorou múltiplas vulnerabilidades no software de e-mail web Roundcube de código aberto, enquanto simultaneamente explorava a vulnerabilidade do Microsoft Outlook.
O grupo patrocinado pelo estado é avaliado como ligado à Unidade 26165 do Diretório Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU), o braço de inteligência estrangeira do Ministério da Defesa. Nos últimos meses, o APT28 também foi conectado a ataques a várias organizações na França e Ucrânia, bem como ao abuso da falha do WinRAR (CVE-2023-38831) para roubar dados de login do navegador usando um script PowerShell chamado IRONJAW. Os pesquisadores observaram campanhas de phishing em grande escala no final de março e setembro de 2023 que exploraram as CVE-2023-23397 e CVE-2023-38831, respectivamente, visando alvos na Europa e América do Norte.
Fonte: BoletimSec
Publicado em: Cybersegurança