Os especialistas da Mandiant acreditam que a vulnerabilidade de dia zero do Outlook (CVE-2023-23397) foi usada em ataques de organização e infraestrutura crítica (KRITIS) por quase 12 meses e também foi usada por atores russos no ataque à Ucrânia.
A Mandiant rastreou e documentou a exploração inicial da vulnerabilidade sob o nome de grupo provisório UNC4697. Os ataques agora foram atribuídos publicamente ao APT28, um ator russo associado ao serviço secreto GRU. A vulnerabilidade foi implantada contra agências governamentais, empresas de logística, operadoras de petróleo e gás, empreiteiras de defesa e indústria de transporte na Polônia, Ucrânia, Romênia e Turquia desde abril de 2022.
Vulnerabilidade do Outlook explorada por mais tempo
A Mandiant acredita que a vulnerabilidade CVE-2023-23397 será rápida e amplamente explorada por vários estados-nação e agentes motivados financeiramente, incluindo criminosos e agentes de espionagem cibernética. No curto prazo, esses jogadores vão correr o esforço de correção para obter uma posição segura em sistemas não corrigidos.
- As provas de conceito da vulnerabilidade, que não requerem interação do usuário, já estão amplamente disponíveis.
- A Mandiant acredita que a vulnerabilidade não foi usada apenas para coletar informações estratégicas. Infraestruturas críticas dentro e fora da Ucrânia foram especificamente visadas. Estas são medidas preparatórias para ataques perturbadores ou destrutivos.
- As soluções de e-mail baseadas em nuvem não são afetadas por esta vulnerabilidade, a menos que o Outlook seja usado em sistemas Windows.
“Esta é mais uma evidência de que ataques cibernéticos agressivos, perturbadores e destrutivos podem não estar confinados à Ucrânia e um lembrete de que não podemos ver tudo. Embora a preparação para um ataque não signifique necessariamente um perigo iminente, a situação geopolítica deve nos preocupar”, disse John Hultquist, chefe de inteligência de ameaças ao cliente no Google Cloud sobre a vulnerabilidade de dia zero.
“Também é um lembrete de que não podemos ver tudo o que está acontecendo neste conflito. Estes são espiões que escaparam com sucesso de nossa atenção por um longo tempo. É sobre distribuição. A vulnerabilidade de dia zero é uma excelente ferramenta tanto para atores de estado-nação quanto para criminosos que buscam obter grandes lucros no curto prazo. A corrida já começou.”
Mais em Mandiant.com
Sobre clientes A Mandiant é uma líder reconhecida em defesa cibernética dinâmica, inteligência de ameaças e resposta a incidentes. Com décadas de experiência na linha de frente cibernética, a Mandiant ajuda as organizações a se defenderem com confiança e proatividade contra ameaças cibernéticas e a responderem a ataques. A Mandiant agora faz parte do Google Cloud.