سوء استفاده از آسیب ‌پذیری بحرانی Outlook توسط گروه APT28

مایکروسافت، چهارم دسامبر ۲۰۲۳ اعلام کرد که فعالیت سایبری یک گروه دولتی تحت حمایت کرملین را شناسایی نموده است که از یک نقص امنیتیِ بحرانی اخیرا اصلاح  ‌شده در سرویس ایمیل Outlook خود جهت دسترسی غیرمُجاز به حساب‌‌های قربانیان در سرورهای Exchange سوء استفاده می‌کنند. آسیب ‌پذیری بحرانی Outlook، یک باگ  افزایش سطح دسترسی است.

غول فناوری این نفوذها را به گروه سایبری Forest Blizzard (Strontium سابق) نسبت داد که غالبا با نام‌های APT28، BlueDelta، Fancy Bear، FROZENLAKE، Iron Twilight، Sednit، Sofacy و TA422 شناخته می‌‌شود.

آسیب ‌پذیری امنیتی مورد بحث، CVE-2023-23397 (امتیاز CVSS: 9.8)، یک باگ افزایش سطح دسترسی بحرانی است که می‌‌تواند به مهاجم اجازه دسترسی به هش Net-NTLMv2 کاربر را بدهد که سپس جهت انجام یک حمله بازپخش یا اصطلاحا relay attack  علیه سرویس دیگری برای انجام احراز هویت به عنوان کاربر مورد استفاده قرار می‌‌گیرد. این آسیب ‌پذیری در مارس ۲۰۲۳ توسط مایکروسافت اصلاح شد.

طبق تحقیقات فرماندهی سایبری لهستان (DKWOC)، هدف این عامل تهدید، دسترسی غیرمجاز به مِیل باکس‌های متعلق به نهادهای دولتی و خصوصی در این کشور است. DKWOC اعلام کرد که مهاجم مجوزهای پوشه را در میل باکسِ قربانی تغییر می‌دهد. تغییرات، در بیشتر موارد برای تغییر مجوزهای از پیش تعیین شده ” Defaultیا پیش‌فرض” گروه از ” None ” به ” Owner ” است (برای همه کاربران احراز هویت شده در سازمان Exchange).

عامل تهدید پس از انجام این کار می‌‌تواند به محتویات پوشه‌‌های میل باکس دسترسی پیدا کند، این امر مهاجم را قادر می‌سازد تا اطلاعات ارزشمندی را از اهداف حائز اهمیت استخراج نماید. هر شخص احراز هویت شده دیگری در سازمان نیز می‌تواند این فایل‌ها را بخواند.

قابل توجه است که حتی پس از بازپس‌گیری دسترسی مستقیم به محتویات میل باکس، با در نظر داشتن تغییرات اعمال شده، باز هم امکان حفظ دسترسی غیرمجاز به فایل‌ها وجود دارد.

مایکروسافت، پیش‌تر افشا کرده بود که این نقص امنیتی توسط عوامل تهدید مستقر در روسیه به عنوان یک آسیب پذیری روز صفر در حملات انجام شده علیه بخش‌‌های دولتی، حمل ‌و نقل، انرژی و نظامی در اروپا از آوریل ۲۰۲۳ مورد استفاده قرار گرفته است.

شرکت امنیت سایبری Recorded Future همچنین جزئیات یک کمپین فیشینگ هدفمند را در ژوئن ۲۰۲۳ که توسط APT28 برای سوء استفاده از چندین آسیب ‌پذیری در نرم‌ افزار وب ‌میل منبع باز Roundcube سازماندهی شده بود، افشا کرد، همچنین اشاره نمود که این کمپین با فعالیت‌‌هایی که از آسیب ‌پذیری Microsoft Outlook سوء استفاده می‌کنند، همپوشانی دارد.

آژانس امنیت سایبری ملی فرانسه (ANSSI) نیز در اواخر ماه اکتبر، هکرها را مقصر نفوذ به نهادهای دولتی، مشاغل، دانشگاه‌‌ها، مؤسسات تحقیقاتی و پژوهشکده‌ها از نیمه دوم سال ۲۰۲۱ با بهره‌گیری از آسیب پذیری‌های مختلف از جمله CVE-2023-23397، برای استقرار ایمپلنت هایی مانند CredoMap دانست.

طبق بررسی‌ها، احتمال می‌رود که این گروه تحت حمایت دولت با واحد ۲۶۱۶۵ اداره اصلی ستاد کل نیروهای مسلح روسیه (GRU)، ارتش اطلاعات خارجی وزارت دفاع، مرتبط می‌باشد.

گروه APT28 در ماه‌های اخیر مظنون به حمله به سازمان‌های مختلف در فرانسه و اوکراین و همچنین سوء استفاده از نقص WinRAR (CVE-2023-38831) به منظور ربودن داده های لاگین در مرورگر با استفاده از یک اسکریپت PowerShell به نام IRONJAW می‌باشد.

 شرکت امنیت سایبری Proofpoint در تحلیلی جداگانه اعلام کرد که کمپین‌های فیشینگ با حجم بالا را در اواخر مارس و سپتامبر ۲۰۲۳ مشاهده کرده است که به ترتیب از آسیب پذیری‌های CVE-2023-23397 و CVE-2023-38831 برای اهدافی در اروپا و آمریکای شمالی استفاده کرده‌اند.