Ngày 4 tháng 12, nhóm Tình báo Đe dọa của Microsoft đã đưa ra cảnh báo sớm về tác nhân APT28 (còn gọi là “Fancybear” hoặc “Strontium”) do nhà nước Nga bảo trợ) chủ động khai thác lỗ hổng CVE-2023-23397 Outlook để chiếm đoạt tài khoản Microsoft Exchange và đánh cắp thông tin nhạy cảm.
Các đối tượng bị nhắm mục tiêu bao gồm chính phủ, các tổ chức năng lượng, giao thông vận tải và các tổ chức quan trọng khác ở Hoa Kỳ, Châu Âu và Trung Đông.
Gã khổng lồ công nghệ cũng nhấn mạnh việc khai thác các lỗ hổng khác bằng các cách khai thác được công khai trong các cuộc tấn công tương tự, bao gồm CVE-2023-38831 trong WinRAR và CVE-2021-40444 trong Windows MSHTML.
Khai thác lỗ hổng Outlook
CVE-2023-23397 là một lỗ hổng nâng cao đặc quyền (EoP) nghiêm trọng trong Outlook trên Windows, được Microsoft sửa là lỗ hổng zero-day trên Đường dẫn tháng 3 năm 2023.
Việc tiết lộ về lỗ hổng đi kèm với thông tin APT28 đã khai thác nó kể từ tháng 4 năm 2022 thông qua các ghi chú Outlook được chế tạo đặc biệt được thiết kế để đánh cắp băm NTLM, buộc các thiết bị mục tiêu phải xác thực với các chia sẻ SMB do kẻ tấn công kiểm soát mà không yêu cầu tương tác của người dùng.
Bằng cách nâng cao các đặc quyền của chúng trên hệ thống và đây là lỗi được chứng minh là không phức tạp, APT28 đã thực hiện hành vi di chuyển ngang trong môi trường của nạn nhân và thay đổi quyền của hộp thư Outlook để thực hiện hành vi trộm email có mục tiêu.
Mặc dù đã có sẵn các bản cập nhật bảo mật và đề xuất giảm nhẹ, nhưng bề mặt tấn công vẫn không suy giảm và việc bỏ qua bản sửa lỗi (CVE-2023-29324) sau đó vào tháng 5 đã khiến tình hình trở nên tồi tệ hơn.
Recorded Future đã cảnh báo vào tháng 6 rằng APT28 có thể đã lợi dụng lỗ hổng Outlook để chống lại các tổ chức quan trọng của Ukraine. Vào tháng 10, cơ quan an ninh mạng Pháp (ANSSI) tiết lộ rằng tin tặc Nga đã sử dụng cuộc tấn công không cần nhấp chuột vào các tổ chức chính phủ, doanh nghiệp, trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp.
Các cuộc tấn công vẫn đang tiếp diễn
Cảnh báo mới nhất của Microsoft nhấn mạnh rằng tin tặc GRU vẫn tận dụng CVE-2023-38831 trong các cuộc tấn công, vì vậy vẫn có những hệ thống vẫn dễ bị lỗ hổng EoP nghiêm trọng.
Công ty công nghệ cũng ghi nhận công việc của Trung tâm chỉ huy mạng Ba Lan (DKWOC) trong việc giúp phát hiện và ngăn chặn các cuộc tấn công. DKWOC cũng đã phát hành một bài đăng mô tả hoạt động của APT28 tận dụng CVE-2023-38831.
Hành động được khuyến nghị thực hiện ngay bây giờ, được liệt kê theo mức độ ưu tiên như sau:
- Áp dụng các bản cập nhật bảo mật có sẵn cho CVE-2023-23397 và bỏ qua CVE-2023-29324.
- Sử dụng tập lệnh này của Microsoft để kiểm tra xem có người dùng Exchange nào đã bị nhắm mục tiêu hay không.
- Đặt lại mật khẩu của người dùng bị xâm phạm và bật MFA (xác thực đa yếu tố) cho tất cả người dùng.
- Giới hạn lưu lượng SMB bằng cách chặn kết nối tới cổng 135 và 445 từ tất cả các địa chỉ IP gửi đến
- Vô hiệu hóa NTLM trên môi trường của bạn.
Vì APT28 là nhóm đe dọa có khả năng thích ứng và linh hoạt cao nên chiến lược phòng thủ hiệu quả nhất là giảm bề mặt tấn công trên tất cả các giao diện và đảm bảo tất cả các sản phẩm phần mềm đều được cập nhật thường xuyên với các bản vá bảo mật mới nhất.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
