Palo Alto Networks
微软在今年3月的例行更新(Patch Tuesday)当中,修补Outlook零时差漏洞CVE-2023-23397(CVSS风险评分为9.8),当时透露与俄罗斯军情单位GRU有关的骇客,在去年4月中旬到12月将其用于攻击行动。如今研究人员透露更多细节。
由于这项漏洞利用的难度并不高,攻击者可透过发送特制的电子邮件来触发漏洞,导致收信程式Outlook搜寻和处理的过程中就有可能中招,甚至有可能在预览窗格呈现之前就触发。
更进一步来说,攻击者发送的恶意邮件当中,会带有延伸的MAPI属性,当中带有通用命名规范(Universal Naming Convention,UNC)路径,连至攻击者控制的SMB共享资料夹(即TCP的445埠)。
上述连线至远端SMB伺服器的过程里,会发送使用者的NTLM交握讯息,从而导致攻击者能在其他支援NTLM身分验证的系统上进行身分验证的重放攻击。
漏洞修补后,俄罗斯骇客组织APT28仍持续利用
针对这项漏洞利用攻击,12月4日波兰网路司令部(Polish Cyber Command,DKWOC)。这些骇客约在20个月里发动3波攻击行动,针对14个国家、逾30个企业组织而来。
这些骇客从俄罗斯对乌克兰进行军事行动之后,在2022年3月就开始利用这项漏洞攻击乌克兰移民署;同年4月中旬至12月,该组织将其用于入侵欧洲15国政府、军事单位、能源组织、交通单位的网路环境,窃取俄罗斯入侵乌克兰有关的军事情报电子邮件。
而在微软今年3月修补漏洞后,这些骇客仍旧透过这项漏洞窃取帐密资料,进行第2波攻击行动,从而于受害组织进行横向移动,相关的攻击行动在5月另一个MSHTML漏洞CVE-2023-29324(CVSS风险评分6.5)公布后显著增加。
而在今年的9月至10月,这些骇客从事第三波攻击行动,研究人员确认目标至少涵盖7个国家的9个组织。
Palo Alto Networks的研究人员指出,遭到这些骇客攻击的国家,除了乌克兰、约旦、阿拉伯联合大公国(UAE),其余皆为北约组织(NATO)会员国,且有北约快速部署兵团遭到锁定。