KRITIS: Outlook Zero-Day-Lücke seit Monaten ausgenutzt

B2B Cyber Security ShortNews

Beitrag teilen

Die Experten von Mandiant glauben, dass die Outlook Zero-Day-Lücke (CVE-2023-23397) bereits seit fast 12 Monaten für Angriffe auf Organisationen und kritische Infrastrukturen (KRITIS) genutzt wird und auch von russischen Akteuren beim Ukraine-Angriff genutzt wurde. 

Mandiant hat die frühe Ausnutzung der Sicherheitslücke unter dem vorläufigen Gruppen-Namen UNC4697 verfolgt und dokumentiert. Mittlerweile wurden die Angriffe öffentlich APT28, einem russischen Akteur im Umfeld des Geheimdienstes GRU zugeschrieben. Die Schwachstelle wird seit April 2022 gegen Regierungsbehörden, Logistikunternehmen, Öl- und Gasbetreiber, Rüstungsunternehmen und die Transportbranche in Polen, der Ukraine, Rumänien und der Türkei eingesetzt.

Outlook-Schwachstelle länger ausgenutzt

Mandiant geht davon aus, dass die Sicherheitslücke CVE-2023-23397 schnell und in großem Umfang von zahlreichen nationalstaatlichen und finanziell motivierten Akteuren missbraucht wird – darunter kriminelle wie auch auf Cyberspionage spezialisierte Akteure. Auf kurze Sicht werden sich diese Akteure einen Wettlauf mit den Patch-Bemühungen liefern, um in ungepatchten Systemen Fuß zu fassen.

  • Proof of Concepts für die Schwachstelle, die keine Benutzerinteraktion erfordert, sind bereits weithin verfügbar.
  • Mandiant glaubt, dass die Sicherheitslücke nicht nur zur Sammlung strategischer Informationen genutzt wurde. Es wurden gezielt kritische Infrastrukturen innerhalb und außerhalb der Ukraine anvisiert. Dies sind Vorbereitungsmaßnahmen für störende oder zerstörerische Angriffe.
  • Cloud-basierte E-Mail-Lösungen sind von dieser Schwachstelle nicht betroffen, wenn kein Outlook auf Windows-Systemen verwendet wird.

„Dies ist ein weiterer Beweis dafür, dass aggressive, störende und zerstörerische Cyberattacken möglicherweise nicht auf die Ukraine beschränkt bleiben und eine Erinnerung daran, dass wir nicht alles sehen können. Auch wenn Vorbereitungen für Angriffe nicht zwingend eine imminente Gefahr bedeuten, sollte uns die geopolitische Lage zu denken geben.“ so John Hultquist, Head of Mandiant Threat Intelligence bei Google Cloud zur Zero-Day-Sicherheitslücke.

„Es ist auch eine Erinnerung daran, dass wir nicht in der Lage sind, alles zu sehen, was in diesem Konflikt vorgeht. Es handelt sich hier um Spione, die sich lange Zeit erfolgreich unserer Aufmerksamkeit entzogen haben. Es geht hier um die Verbreitung. Die Zero-Day-Schwachstelle ist ein hervorragendes Instrument sowohl für nationalstaatliche Akteure als auch für Kriminelle, die kurzfristig große Gewinne machen wollen. Der Wettlauf hat bereits begonnen.“

Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen

Cyberattacke auf Deutsche Energie-Agentur – dena

Die Deutsche Energie-Agentur vermeldet nach eigenen Angaben eine Cyberattacke am Wochenende vom 11. auf den 12. November. Die Server sind ➡ Weiterlesen

LockBit: Gestohlene Shimano-Daten wohl veröffentlicht

Der japanische Hersteller für Fahrradteile Shimano wurde Ziel laut LockBit Opfer eines Ransomware-Angriffs und zeigte sich offenbar nicht bereit, Lösegeld ➡ Weiterlesen

IoT-Geräte: Bedrohung aus dem Darknet

IoT-Geräte sind ein beliebtes Angriffsziel für Cyberkriminelle. Im Darknet werden diese Angriffe als Dienstleistung angeboten. Insbesondere Services für DDoS-Angriffe die ➡ Weiterlesen