Gli esperti di Mandiant ritengono che la vulnerabilità zero-day di Outlook (CVE-2023-23397) sia stata utilizzata negli attacchi alle organizzazioni e alle infrastrutture critiche (KRITIS) per quasi 12 mesi e sia stata utilizzata anche da attori russi nell'attacco in Ucraina.
Mandiant ha tracciato e documentato lo sfruttamento iniziale della vulnerabilità con il nome di gruppo provvisorio UNC4697. Gli attacchi sono stati ora pubblicamente attribuiti ad APT28, un attore russo associato ai servizi segreti del GRU. La vulnerabilità è stata implementata contro agenzie governative, società di logistica, operatori di petrolio e gas, appaltatori della difesa e industria dei trasporti in Polonia, Ucraina, Romania e Turchia dall'aprile 2022.
Vulnerabilità di Outlook sfruttata più a lungo
Mandiant ritiene che la vulnerabilità CVE-2023-23397 sarà rapidamente e ampiamente sfruttata da una varietà di stati-nazione e attori motivati finanziariamente, inclusi criminali e attori dello spionaggio informatico. A breve termine, questi giocatori gareggeranno nello sforzo di patchare per ottenere un punto d'appoggio nei sistemi senza patch.
- Proof of concept per la vulnerabilità, che non richiede l'interazione dell'utente, sono già ampiamente disponibili.
- Mandiant ritiene che la vulnerabilità non sia stata utilizzata solo per raccogliere informazioni strategiche. Le infrastrutture critiche all'interno e all'esterno dell'Ucraina sono state specificamente prese di mira. Si tratta di misure preparatorie per attacchi dirompenti o distruttivi.
- Le soluzioni di posta elettronica basate su cloud non sono interessate da questa vulnerabilità a meno che Outlook non venga utilizzato su sistemi Windows.
“Questa è un'ulteriore prova che gli attacchi informatici aggressivi, dirompenti e distruttivi potrebbero non essere limitati all'Ucraina e un promemoria del fatto che non possiamo vedere tutto. Sebbene prepararsi a un attacco non significhi necessariamente un pericolo imminente, la situazione geopolitica dovrebbe darci motivo di preoccupazione", ha affermato John Hultquist, Head of Client Threat Intelligence presso Google Cloud sulla vulnerabilità zero-day.
“Ci ricorda anche che non siamo in grado di vedere tutto ciò che sta accadendo in questo conflitto. Queste sono spie che hanno eluso con successo la nostra attenzione per molto tempo. Riguarda la distribuzione. La vulnerabilità zero-day è uno strumento eccellente sia per gli attori dello stato-nazione che per i criminali che cercano di realizzare grandi profitti a breve termine. La corsa è già cominciata".
Altro su Mandiant.com
A proposito di clienti Mandiant è un leader riconosciuto nella difesa informatica dinamica, nell'intelligence sulle minacce e nella risposta agli incidenti. Con decenni di esperienza sul fronte informatico, Mandiant aiuta le organizzazioni a difendersi in modo sicuro e proattivo dalle minacce informatiche e a rispondere agli attacchi. Mandiant fa ora parte di Google Cloud.