Un actor de amenaces patrocinat per l’estat rus, APT28, ha estat explotant una vulnerabilitat de zero clics a Microsoft Outlook, atacant a desenes d’organitzacions en 14 països de l’OTAN, segons informes de Palo Alto Networks. Aquesta vulnerabilitat de severitat crítica, rastrejada com a CVE-2023-23397, permet l’explotació a través de missatges de correu electrònic elaborats abans que fins i tot siguin visualitzats en el Panell de Vista Prèvia. Microsoft va solucionar aquesta vulnerabilitat al març de 2023, però va assenyalar que havia estat explotada des d’abril de 2022.
APT28, vinculat al servei d’intel·ligència militar GRU de Rússia, va utilitzar aquest exploit en almenys tres campanyes malicioses entre març de 2022 i octubre de 2023. El primer ús conegut de l’exploit va ser contra el Servei de Migració de l’Estat d’Ucraïna, només setmanes després de la invasió d’Ucraïna per part de Rússia. Els objectius van incloure organitzacions d’energia i transport, així com ministeris de defensa, afers interns, afers exteriors i economia en els països de l’OTAN, Ucraïna, Jordània i els Emirats Àrabs Units.
Malgrat el descobriment de l’exploit per investigadors ucraïnesos de ciberseguretat i una atribució pública a un actor d’amenaces basat a Rússia per Microsoft al març de 2023, APT28 va continuar utilitzant aquesta vulnerabilitat. Aquesta persistència suggereix que el valor d’intel·ligència d’aquestes operacions va ser significatiu per als interessos militars russos. L’informe de Palo Alto Networks s’aligna amb l’assessorament actualitzat de Microsoft, que atribueix l’explotació de CVE-2023-23397 a APT28. Conegut per diversos noms, incloent Fancy Bear i Sofacy, APT28 ha estat implicat en nombrosos ciberatacs, inclosos els contra països europeus i les eleccions nord-americanes de 2016.
Source: SecurityWeek
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.