- Actualités
- >cybersécurité
Microsoft met en garde contre l’exploitation de la vulnérabilité critique d’Outlook par APT28 soutenu par le Kremlin
- , Publié le 5 décembre 2023
- , à23 h 48 min
Microsoft a déclaré lundi avoir détecté des activités d’États-nations soutenus par le Kremlin qui exploitent une faille de sécurité critique désormais corrigée dans son service de messagerie Outlook pour obtenir un accès non autorisé aux comptes des victimes dans les serveurs Exchange.
Par la suite, en juin 2023, la société de cybersécurité Recorded Future a révélé les détails d’une campagne de spear-phishing orchestrée par APT28 exploitant de multiples vulnérabilités dans
dans le logiciel open-source Roundcube, tout en notant que cette campagne
que la campagne se chevauche avec des activités employant
la vulnérabilité de Microsoft Outlook.
Fin octobre, l’Agence nationale française de cybersécurité (ANSSI) a également reproché au groupe de pirates informatiques de cibler les administrations publiques.
l’équipe de pirates d’avoir ciblé des entités gouvernementales, des entreprises, des universités, des instituts de recherche et des groupes de réflexion depuis le second semestre 2021 en utilisant la vulnérabilité de Microsoft Outlook.
le second semestre 2021 en profitant de diverses failles, dont CVE2023 23397, pour déployer des implants
pour déployer des implants tels que CredoMap.
On estime que le groupe parrainé par l’État est lié à l’unité 26165.
lié à l’unité 26165 de la direction
la direction principale de
l’état-major général des
des forces armées de la
de la Fédération de Russie (GRU), le service de renseignement extérieur du ministère de la défense.
Au cours des derniers mois, il a également été connecté à des attaques diverses organisations France et Ukraine bien abuser WinRAR faille CVE2023 38831 voler les données de connexion du navigateur à l’aide de PowerShell script nommé IRONJAW.
La société de cybersécurité Proofpoint a observé dans une analyse indépendante des campagnes de phishing à haut volume fin mars et septembre 2023 qui ont exploité les CVE2023 23397 et CVE2023 38831 respectivement pour cibler l’Europe et l’Amérique du Nord.
Indépendamment de leurs actions indiquent qu’ils cherchent à découvrir des réseaux facilement exploitables intérêt stratégique adversaire cependant il n’est pas clair si la quantité de courriels plus de 10 000 total depuis août 2023 décision tactique ou erreur de l’opérateur Greg Lesnewich chercheur principal de menace a déclaré The Hacker News.
.
Forest Blizzard affine continuellement son empreinte en employant de nouvelles techniques personnalisées et de nouveaux logiciels malveillants, ce qui suggère qu’il s’agit d’un groupe bien formé et disposant de ressources suffisantes, ce qui pose des problèmes à long terme en matière d’attribution et de suivi de ses activités », a déclaré Microsoft.
La popularité de Microsoft Outlook dans les environnements d’entreprise constitue un vecteur d’attaque lucratif, ce qui en fait « l’une des « passerelles » critiques responsables de l’introduction de diverses cybermenaces dans les organisations », selon Check Point, qui a présenté les différents moyens par lesquels le service pourrait être utilisé par des acteurs malveillants pour mettre en œuvre leurs exploits.
Ce développement intervient alors que le Guardian a rapporté que le site de déchets nucléaires de Sellafield au Royaume-Uni avait été violé par des équipes de pirates associées à la Russie et à la Chine pour déployer des « malwares dormants » dès 2015. Toutefois, le gouvernement britannique a déclaré qu’il n’avait trouvé aucune preuve suggérant que ses réseaux avaient été « attaqués avec succès par des acteurs étatiques ».
(L’article a été mis à jour après publication pour inclure des détails supplémentaires sur la campagne de Proofpoint).
