Los expertos de Mandiant creen que la vulnerabilidad de día cero de Outlook (CVE-2023-23397) se ha utilizado en ataques de organización e infraestructura crítica (KRITIS) durante casi 12 meses y también fue utilizada por actores rusos en el ataque de Ucrania.
Mandiant ha rastreado y documentado la explotación temprana de la vulnerabilidad bajo el nombre de grupo tentativo UNC4697. Los ataques ahora se han atribuido públicamente a APT28, un actor ruso asociado con el servicio secreto GRU. La vulnerabilidad se ha desplegado contra agencias gubernamentales, empresas de logística, operadores de petróleo y gas, contratistas de defensa y la industria del transporte en Polonia, Ucrania, Rumania y Turquía desde abril de 2022.
Vulnerabilidad de Outlook explotada por más tiempo
Mandiant cree que la vulnerabilidad CVE-2023-23397 será rápida y ampliamente explotada por una variedad de estados nacionales y actores con motivaciones financieras, incluidos delincuentes y actores de espionaje cibernético por igual. A corto plazo, estos jugadores competirán en el esfuerzo de parcheo para afianzarse en los sistemas sin parchear.
- La prueba de conceptos para la vulnerabilidad, que no requiere la interacción del usuario, ya está ampliamente disponible.
- Mandiant cree que la vulnerabilidad no solo se usó para recopilar inteligencia estratégica. Las infraestructuras críticas dentro y fuera de Ucrania fueron atacadas específicamente. Estas son medidas preparatorias para ataques perturbadores o destructivos.
- Las soluciones de correo electrónico basadas en la nube no se ven afectadas por esta vulnerabilidad a menos que Outlook se use en sistemas Windows.
“Esta es una prueba más de que los ciberataques agresivos, disruptivos y destructivos pueden no estar confinados a Ucrania y un recordatorio de que no podemos verlo todo. Si bien prepararse para un ataque no significa necesariamente un peligro inminente, la situación geopolítica debería ser motivo de preocupación”, dijo John Hultquist, jefe de inteligencia de amenazas de clientes en Google Cloud sobre la vulnerabilidad de día cero.
“También es un recordatorio de que no podemos ver todo lo que está pasando en este conflicto. Estos son espías que han logrado evadir nuestra atención durante mucho tiempo. Se trata de la distribución. La vulnerabilidad de día cero es una excelente herramienta tanto para los actores del estado-nación como para los delincuentes que buscan obtener grandes ganancias a corto plazo. La carrera ya ha comenzado”.
Más en Mandiant.com
Sobre el cliente Mandiant es un líder reconocido en defensa cibernética dinámica, inteligencia de amenazas y respuesta a incidentes. Con décadas de experiencia en la primera línea cibernética, Mandiant ayuda a las organizaciones a defenderse de manera segura y proactiva contra las amenazas cibernéticas y responder a los ataques. Mandiant ahora es parte de Google Cloud.