Експерти Mandiant вважають, що вразливість нульового дня Outlook (CVE-2023-23397) використовувалася в атаках на організаційну та критичну інфраструктуру (KRITIS) протягом майже 12 місяців, а також використовувалася російськими акторами в атаці на Україну.
Mandiant відстежив і задокументував раннє використання вразливості під умовною назвою групи UNC4697. Зараз публічно приписують напади APT28, російському актору, пов’язаному зі спецслужбою ГРУ. Уразливість була застосована проти державних установ, логістичних компаній, нафтогазових операторів, оборонних підрядників і транспортної галузі в Польщі, Україні, Румунії та Туреччині з квітня 2022 року.
Уразливість Outlook використовується довше
Mandiant вважає, що вразливість CVE-2023-23397 буде швидко та широко використана різноманітними державними та фінансово вмотивованими суб’єктами, включаючи злочинців та кібершпигунство. У короткостроковій перспективі ці гравці намагатимуться встановлювати виправлення, щоб закріпитися в системах без виправлень.
- Докази концепцій уразливості, які не потребують взаємодії з користувачем, уже широко доступні.
- Mandiant вважає, що вразливість використовувалася не лише для збору стратегічної розвідки. Особливо націлені на об’єкти критичної інфраструктури всередині та за межами України. Це підготовчі заходи до підривних або руйнівних атак.
- Ця вразливість не впливає на хмарні рішення електронної пошти, якщо Outlook не використовується в системах Windows.
«Це є ще одним доказом того, що агресивні, руйнівні та руйнівні кібератаки можуть не обмежуватися Україною, і нагадуванням, що ми не можемо бачити все. Хоча підготовка до атаки не обов’язково означає неминучу небезпеку, геополітична ситуація повинна викликати у нас привід для занепокоєння», — сказав Джон Халтквіст, керівник відділу аналізу клієнтських загроз Google Cloud щодо вразливості нульового дня.
«Це також нагадування, що ми не можемо бачити все, що відбувається в цьому конфлікті. Це шпигуни, які тривалий час успішно уникали нашої уваги. Йдеться про розподіл. Уразливість нульового дня є чудовим інструментом як для суб’єктів національної держави, так і для злочинців, які прагнуть отримати великі прибутки в короткостроковій перспективі. Гонка вже почалася».
Більше на Mandiant.com
Про клієнта Mandiant є визнаним лідером у сфері динамічного кіберзахисту, аналізу загроз та реагування на інциденти. Маючи десятиліття досвіду на кіберфронтовій лінії, Mandiant допомагає організаціям впевнено та проактивно захищатися від кіберзагроз і реагувати на атаки. Тепер Mandiant є частиною Google Cloud.