Omfattande riktad attack mot Outlook

10 000 försök under kort tid

Cybersäkerhetsföretaget Proofpoint har nyligen observerat en ökad aktivitet från den ökända ryska hotaktören TA422, även känd som APT28, Forest Blizzard, Pawn Storm, Fancy Bear och BlueDelta. I en omfattande nätfiskekampanj riktade gruppen i sig på Microsofts Outlook.

Detta hela ser ut att vara en fortsättning på en tidigare kampanj från i mars i år, som riktade in sig mot en mängd olika organisationer i både Europa och Nordamerika. Amerikansk underrättelsetjänst har kopplat TA422 till sin ryska motsvarighet, GRU.

Nytt för denna kampanj är att TA422 tydligt försöker utnyttja en specifik sårbarhet i Microsoft Outlook, kallad CVE-2023-23397. Under en intensiv period tidigare i år skickades tusentals e-postmeddelanden från en enskild e-postleverantör, med organisationer inom försvar, flyg, teknik och myndigheter som primära måltavlor tillverkning. Även högskolor och universitet och olika konsultverksamheter drabbades.

Sett till dess enorma omfattning sticker kampanjen ut jämfört med vad andra typer av nationalstatliga spionageattacker. Bland annat observerade man över 10 000 upprepade försök att utnyttja Microsoft Outlook-sårbarheten, riktade mot samma konton dagligen.

Målet ska ha varit att bland annat komma över känsliga data, som lösenord och andra känsliga uppgifter.

– Det här indikerar på att TA422 försöker upptäcka exploaterbara nätverk som har strategiskt intresse. Det är dock oklart om mängden e-postmeddelanden – mer än 10 000 totalt sedan augusti 2023 – har varit ett medvetet taktiskt beslut eller ett operatörsfel, säger Greg Lesnewich, cybersäkerhetsforskare på Proofpoint.

– Oavsett vilket innebär taktiken och teknikerna som används i dessa kampanjer ett skifte för TA422, från att primärt levererat skadlig programvara till att mer fokusera på autentiseringsorienterad åtkomst.

Proofpoint uppmanar organisationer och myndigheter att så snart som möjligt åtgärda kända sårbarheter, förstärka åtgärder för e-postsäkerhet och fortsätta vara vaksamma mot misstänkta aktiviteter och e-post.

Hela rapporten finns att läsa här.

12/8/2023 - Industritorget