Na segunda-feira, a Microsoft disse que detectou atividade de nação-estado apoiada pelo Kremlin explorando uma falha de segurança crítica, agora corrigida, em seu serviço de email Outlook para obter acesso não autorizado às contas das vítimas dentro dos servidores do Exchange.
A gigante da tecnologia atribuiu as invasões a um ator de ameaças que ela chamou de Forest Blizzard (anteriormente conhecido como Strontium), que também é amplamente rastreado sob os nomes de APT28, BlueDelta, Fancy Bear, FROZENLAKE, Iron Twilight, Sednit, e Sofacy.
A vulnerabilidade de segurança em questão é a
CVE-2023-23397
(pontuação CVSS: 9.8), um bug crítico de elevação de privilégios que poderia permitir a um adversário acessar o hash Net-NTLMv2 de um usuário que poderia então ser usado para realizar um ataque de retransmissão contra outro serviço para se autenticar como o usuário.
Foi corrigido pela Microsoft em março de 2023.
O objetivo, de acordo com o Comando Cibernético Polonês (DKWOC), é obter acesso não autorizado a caixas de correio pertencentes a entidades públicas e privadas no país.
"Na próxima etapa da atividade maliciosa, o adversário modifica as permissões de pasta dentro da caixa de correio da vítima," disse DKWOC.
"Na maioria dos casos, as modificações são para alterar as permissões padrão do grupo 'Default' (todos os usuários autenticados na organização Exchange) de 'Nenhum' para 'Proprietário'".
Ao fazer isso, o conteúdo de pastas de caixa de correio que receberam essa permissão pode ser lido por qualquer pessoa autenticada dentro da organização, permitindo ao ator de ameaças extrair informações valiosas de alvos de alto valor.
"Deve-se enfatizar que a introdução de tais modificações permite a manutenção do acesso não autorizado ao conteúdo da caixa de correio mesmo após perder o acesso direto a ela", acrescentou DKWOC.
A Microsoft revelou anteriormente que a falha de segurança havia sido armada por atores de ameaças baseados na Rússia como um zero-day em ataques visando governos, transporte, energia e setores militares na Europa desde abril de 2022.
Subsequentemente, em junho de 2023, a firma de segurança cibernética Recorded Future revelou detalhes de uma campanha de spear-phishing orquestrada pela APT28 explorando várias vulnerabilidades no software de webmail open-source Roundcube, observando ao mesmo tempo que a campanha se sobrepõe à atividade que utiliza a vulnerabilidade do Outlook da Microsoft.
Durante os últimos meses, também tem sido ligado a ataques a várias organizações na França e na Ucrânia, bem como ao abuso da falha do WinRAR (
CVE-2023-38831
) para roubar dados de login do navegador usando um script PowerShell chamado IRONJAW.
"Forest Blizzard continua refinando sua pegada ao empregar novas técnicas personalizadas e malware, sugerindo que é um grupo bem fornecido e bem treinado, apresentando desafios a longo prazo para atribuição e rastreamento de suas atividades", disse a Microsoft.
O desenvolvimento ocorre enquanto The Guardian relatou que o Site de Resíduos Nucleares de Sellafield no Reino Unido havia sido violado por equipes de hackers associadas à Rússia e à China para implantar "malware adormecido" já em 2015.
No entanto, o governo do Reino Unido disse que não encontrou nenhuma evidência para sugerir que suas redes haviam sido "atacadas com sucesso por atores estatais".
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...