Nella giornata di ieri Microsoft ha rivelato attività sospette nel contesto di un exploit di Outlook. Responsabile della campagna sarebbe APT28, gruppo di hacker russi ritenuto vicino al Cremlino.
Il collettivo, noto anche come Forest Blizzard, BlueDelta e altri nomi, starebbe lavorando sulla vulnerabilità CVE-2023-23397, già nota e corretta lo scorso mese di marzo. Questo exploit, classificato con un punteggio CVSS di 9,8, è un bug critico che consente ai cybercriminali di ottenere privilegi elevati e l’accesso hash Net-NTLMv2 della vittima.
Secondo quanto affermato dal Cyber Command della Polonia (DKWOC) l’obiettivo di APT28 sarebbe l’ottenimento dell’accesso non autorizzato alle caselle di posta di enti pubblici e privati del paese. Attraverso l’exploit, un hacker può facilmente avere pieno accesso alla posta elettronica delle vittime e utilizzare la stessa per diffondere ulteriori malware o agenti malevoli simili.
Per APT28 questo tipo di attacchi non sono di certo una novità assoluta
Il modus operandi attuato da APT28 non è di certo una novità in questo contesto. Microsoft, per esempio, ha già segnalato nel 2022 come gruppi hacker russi avessero sfruttato vulnerabilità zero-day per attaccare ambiti come settori governativi e non solo in Europa.
L’ultima operazione simile a quella appena svelata risale a giugno 2023. Nel periodo estivo, infatti, la società di sicurezza informatica Recorded Future ha rivelato una massiccia campagna di spear-phishing proprio da parte di APT28. In quel caso, ad essere stato preso di mira, è stato il software di posta elettronica Roundcube.
Secondo i dati forniti dagli esperti APT28 è un gruppo collegato direttamente con l’unità 26165 della direzione principale dello Stato maggiore delle Forze armate della Federazione Russa, dunque che agisca sotto ordine del Ministero della Difesa.
Come avviene sempre in questi casi, il miglior modo possibile per evitare disastri è mantenere Outlook aggiornato con le più recenti patch di sicurezza disponibili.