APT28持续利用Exchange漏洞进行攻击

关键要点

APT28也称为Sofacy BlueDelta Fancy Bear正在进行窃取政府和企业敏感信息的活动。该威胁组织利用了九个月前修复的Microsoft Exchange漏洞，CVE202323397。该漏洞的CVSS v3评分为98，微软在三月份发布了补丁。APT28自2019年以来一直参与间谍活动，并被美国和英国情报机构关联到俄罗斯。

APT28正在进行针对美国、欧洲和中东地区的Exchange服务器攻击，以窃取敏感信息。根据研究人员的报告，该组织正利用一个九个月前修复的Microsoft Exchange漏洞。微软的事件响应研究人员与波兰的网络指挥部共同确认APT28的攻击行为。

漏洞与攻击细节

APT28利用的关键漏洞被标记为CVE202323397，其严重性在于攻击者通过发送特制消息直接影响目标Exchange账户，受害者无需与消息互动就能触发恶意行为，从而使攻击者能够盗取凭据哈希，进而访问服务器上任何“高价值”的邮箱。

旋风加速npv官网漏洞信息特性漏洞名称CVE202323397CVSS评分98修复月份三月

微软的事件响应团队在其关于CVE202323397的更新中指出，他们与波兰网络指挥部(DKWOC)合作，以减少APT28在提升特权攻击中的技术使用。研究人员表示：“Forest Blizzard持续优化其足迹，通过采用新定制技术和恶意软件，显示出这是一个资源丰富且训练有素的团体，对追踪其活动及归属带来了长期挑战。”

其他被利用的漏洞

在更新文章中，微软还列出了APT28正在利用的多个其他漏洞，包括一个已经修复的WinRAR漏洞，该漏洞编号为CVE202338831。微软表示，该组织自至少九月份以来就利用该漏洞进行针对乌克兰政府目标的钓鱼攻击。

波兰网络指挥部还表示，他们开发了一套工具，能够在Exchange环境中运行，以识别和减轻APT28通过利用CVE202323397或暴力攻击进行的妥协活动。一旦攻击者突破目标账户，他们会修改文件夹权限，以便读取其内容。

“在波兰网络指挥部识别的案例中，高价值信息目标的邮箱文件夹权限被修改，”该机构表示。“由于这一变化，攻击者能够通过任何已妥协的电子邮件账户获得对高价值信息邮箱资源的未经授权访问，使用Exchange Web Services (EWS)协议进行连接。”

为了应对APT28的威胁，微软建议安全团队确保Outlook是最新修复的版本，以降低风险。