חולשה באאוטלוק מנוצלת על ידי האקרים רוסים כדי לגנוב מידע רגיש

קבוצת התקיפה Fancybear, המכונה גם APT28 או Strontium, היא קבוצת תקיפה במימון רוסיה.
הקבוצה מנצלת חולשה ב-Microsoft Outlook (CVE-2023-23397) המאפשרת פריצה לחשבונות Microsoft Exchange וגניבת מידע רגיש.

המתקפה כוונה נגד גופים שונים, כולל ממשלה, אנרגיה, ותחבורה בארה"ב, אירופה והמזרח התיכון.
הניצול של החולשה כולל שימוש בהערות Outlook מיוחדות שגונבות אשכולות NTLM (פרוטוקול אימות), ומאפשרות לפורצים לגשת ולשלוט במערכות הקורבנות ללא צורך באינטראקציה משתמש.
קבוצת התקיפה מנצלת את החולשה הזו הזה לפחות מאפריל 2022, ולמרות הפצת עדכוני אבטחה על ידי מיקרוסופט, המתקפות ממשיכות, מה שמדגיש את הצורך בערנות גבוהה ובצעדי סייבר אבטחה מעודכנים.

בחברת אבטחת המידע ESET מתייחסים לפעילות הזדונית: "מדובר בשימוש בשיטות מתוחכמות המופעלות כדי לסכן מערכות ללא אינטראקציה של המשתמש. ניצול של פגיעויות כאלה מהווה סיכון מהותי לאבטחת הסייבר של ארגונים, במיוחד אלה במגזרים רגישים. חשוב שכל הארגונים המושפעים יבצעו את עדכוני האבטחה האחרונים שסיפקה מיקרוסופט עבור CVE-2023-23397 ועקיפתו - CVE-2023-29324. אנו ממליצים ליישם אימות רב-גורמי (MFA) עבור כל המשתמשים, לאפס סיסמאות לחשבונות שנפגעו ולהגביל תעבורת SMB כדי לחזק את ההגנות מפני התקפות מסוג זה. ניטור ועדכון רציפים של מערכות אבטחה הם הכרחיים כדי להגן מפני גורמי איומים מתוחכמים שכאלה".