Microsoft Outlook’ta (CVE-2023-23397 olarak izlenen) sıfır gün istismarını kullanan Fighting Ursa Aka APT28, 14 ülkede muhtemelen Rus hükümeti ve ordusu için önemli stratejik istihbarat kaynakları olan en az 30 şirketi hedef alıyor.
Toplam üç kampanyada hedeflenen 14 ülkenin tamamı, Ukrayna, Ürdün ve Birleşik Arap Emirlikleri dışındaki NATO üyesi ülkelerdeki kurumlardır.
Bu kuruluşlar diplomasi, ticaret ve askeri ilişkiler alanlarında hayati altyapı ve bilgi avantajı kaynaklarını içeriyordu.
Aşağıdaki hedef kuruluşlar bunlar arasındaydı:
- Enerji üretimi ve dağıtımı
- Boru hattı operasyonları
- Malzeme, personel ve hava taşımacılığı
- Savunma Bakanlıkları
- Dışişleri Bakanlıkları
- İçişleri Bakanlıkları
- Ekonomi Bakanlıkları
Microsoft Outlook’ta Sıfır Gün İstismarı
Bu güvenlik açığı nedeniyle Fighting Ursa, kamuoyuna açıklanan en az iki kampanya gerçekleştirdi. İlki Mart 2022’de, ikincisi ise Mart 2023’te, Mart-Aralık 2022 arasında gerçekleşti.
Birim 42’deki araştırmacılar, Fighting Ursa’nın da bu güvenlik açığından yararlandığı üçüncü, güncel bir harekatı ortaya çıkardı. Grubun yedi ülkedeki en az dokuz kuruluşu hedef alan en güncel çalışması, 2023 yılının Eylül ve Ekim ayları arasında gerçekleştirildi.
APT28, Fancy Bear, Stronsiyum/Orman Blizzard, Pawn Storm, Sofacy veya Sednit, Rus askeri istihbaratına bağlı ve Rusya’nın ilgisini çeken hedeflere, özellikle de askeri öneme sahip olanlara odaklandığı bilinen bir grup olan Fighting Ursa’nın diğer isimleridir.
Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü’nün (GRU) 85. Özel Hizmet Merkezi (GTsSS) olan askeri istihbarat birimi 26165’in Ursa ile savaştığı öne sürüldü.
Fighting Ursa, o zamanlar kamuya açıklanmayan bir sıfır gün istismarı olan CVE-2023-23397 güvenlik açığından yararlanarak Ukrayna Devlet Göç Servisi’ni hedef alan bir istismarın bilinen ilk örneğini içeren bir e-posta gönderdi.
CVE-2023-23397, Windows Microsoft Outlook istemcisindeki, Outlook istemcisi onu işlediğinde tetiklenen özel hazırlanmış bir e-posta gönderilerek yararlanılabilen bir güvenlik açığıdır. Bu istismar hiçbir kullanıcı etkinliğinin etkinleştirilmesini gerektirmez.
Araştırmacılar, “Microsoft Outlook’un bu güvenlik açığı kullanılarak başarılı bir şekilde kullanılması, CVE-2023-23397 için tehdit özetimizde açıklandığı gibi Windows (Yeni Teknoloji) NT LAN Manager (NTLM) kullanılarak bir geçiş saldırısıyla sonuçlanıyor” dedi.
Araştırmacılar iki ana nedenden ötürü Ursa ile Mücadele’yi bu kampanyalardaki eylemlerle ilişkilendiriyor:
- Görünüşe göre Rus ordusu, bu faaliyetlerin hedeflenen kurbanlarından toplanan istihbarata değer veriyor.
- Daha önceki Fighting Ursa çabalarına benzer şekilde, tüm kampanyalar, ortak olarak seçilen Ubiquiti ağ cihazlarını kullanarak kurban ağlarından NTLM kimlik doğrulama mesajlarını topladı.
Öneri
- Bu saldırı stratejilerine dikkat edin
- Bu güvenlik açığını giderin
- Bu tür kötü amaçlı kampanyaları önlemek için uç nokta güvenliğini ayarlayın.