Mandiant uzmanları, Outlook sıfır günlük güvenlik açığının (CVE-2023-23397) Organizasyon ve Kritik Altyapı (KRITIS) saldırılarında yaklaşık 12 aydır kullanıldığına ve Ukrayna saldırısında Rus aktörler tarafından da kullanıldığına inanıyor.
Mandiant, UNC4697 geçici grup adı altında güvenlik açığından erken yararlanmayı izledi ve belgeledi. Saldırılar artık kamuya açık bir şekilde GRU gizli servisiyle bağlantılı bir Rus aktör olan APT28'e atfedildi. Güvenlik açığı, Nisan 2022'den bu yana Polonya, Ukrayna, Romanya ve Türkiye'de devlet kurumlarına, lojistik şirketlerine, petrol ve gaz operatörlerine, savunma müteahhitlerine ve nakliye endüstrisine karşı konuşlandırıldı.
Outlook güvenlik açığından daha uzun süre yararlanıldı
Mandiant, CVE-2023-23397 güvenlik açığının, suçlular ve benzer şekilde siber casusluk aktörleri de dahil olmak üzere çeşitli ulus-devlet ve finansal olarak motive olmuş aktörler tarafından hızla ve geniş çapta istismar edileceğine inanıyor. Kısa vadede bu oyuncular, yama uygulanmamış sistemlerde kendilerine yer edinebilmek için yama yapma çabalarında yarışacaklar.
- Güvenlik açığı için kullanıcı etkileşimi gerektirmeyen kavramların kanıtı zaten yaygın olarak bulunuyor.
- Mandiant, güvenlik açığının yalnızca stratejik istihbarat toplamak için kullanılmadığına inanıyor. Ukrayna içindeki ve dışındaki kritik altyapılar özellikle hedef alındı. Bunlar yıkıcı veya yıkıcı saldırılar için hazırlık önlemleridir.
- Bulut tabanlı e-posta çözümleri, Windows sistemlerinde Outlook kullanılmadığı sürece bu güvenlik açığından etkilenmez.
"Bu, saldırgan, yıkıcı ve yıkıcı siber saldırıların Ukrayna ile sınırlı olmayabileceğinin bir başka kanıtı ve her şeyi göremeyeceğimizin bir hatırlatıcısı. Google Cloud İstemci Tehdit İstihbaratı Başkanı John Hultquist, sıfırıncı gün güvenlik açığıyla ilgili olarak, bir saldırıya hazırlanmak yakın bir tehlike anlamına gelmese de, jeopolitik durum bizi endişelendirmeli" dedi.
“Bu çatışmada olup biten her şeyi göremeyeceğimizi de hatırlatıyor. Bunlar, uzun süre dikkatimizden başarılı bir şekilde kaçan casuslar. Dağıtımla ilgili. Sıfır gün güvenlik açığı, kısa vadede büyük karlar elde etmek isteyen hem ulus devlet aktörleri hem de suçlular için mükemmel bir araçtır. Yarış çoktan başladı.”
Mandiant.com'da daha fazlası
müşteriler hakkında Mandiant, dinamik siber savunma, tehdit istihbaratı ve olay müdahalesinde tanınmış bir liderdir. Siber cephede onlarca yıllık deneyimiyle Mandiant, kuruluşların siber tehditlere karşı güvenle ve proaktif bir şekilde savunma yapmasına ve saldırılara yanıt vermesine yardımcı olur. Mandiant artık Google Cloud'un bir parçasıdır.