Un attore di minaccia sponsorizzato dallo stato russo, APT28, ha sfruttato una vulnerabilità zero-click in Microsoft Outlook, prendendo di mira dozzine di organizzazioni in 14 paesi della NATO, come riportato da Palo Alto Networks. Questa vulnerabilità di gravità critica, tracciata come CVE-2023-23397, permette lo sfruttamento tramite messaggi email artigianali prima che vengano visualizzati nel Pannello di Anteprima. Microsoft aveva corretto questa vulnerabilità nel marzo 2023, ma ha notato che era stata sfruttata già da aprile 2022.
APT28, collegato al servizio di intelligence militare GRU della Russia, ha utilizzato questo exploit in almeno tre campagne malevole tra marzo 2022 e ottobre 2023. Il primo exploit conosciuto è stato usato contro il Servizio di Migrazione di Stato dell’Ucraina, solo poche settimane dopo l’invasione dell’Ucraina da parte della Russia. I bersagli includevano organizzazioni nel settore dell’energia e dei trasporti, nonché ministeri della difesa, degli affari interni, degli affari esteri e dell’economia nei paesi della NATO, in Ucraina, Giordania e negli Emirati Arabi Uniti.
Nonostante la scoperta dell’exploit da parte dei ricercatori ucraini in cybersecurity e un’attribuzione pubblica ad un attore di minaccia basato in Russia da parte di Microsoft nel marzo 2023, APT28 ha continuato a utilizzare questa vulnerabilità. Questa persistenza suggerisce che il valore di intelligence di queste operazioni fosse significativo per gli interessi militari russi. Il rapporto di Palo Alto Networks si allinea all’avviso aggiornato di Microsoft, che attribuisce lo sfruttamento del CVE-2023-23397 ad APT28. Conosciuto con vari nomi, inclusi Fancy Bear e Sofacy, APT28 è stato implicato in numerosi attacchi informatici, incluso quelli contro i paesi europei e le elezioni statunitensi del 2016.
Source: SecurityWeek
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.