Mandiant 評論：零日攻擊與針對烏克蘭境內外關鍵基礎設施的攻擊有關

美國較早前/3月14日，Microsoft發布Windows作業系統與軟體工具的74個安全漏洞的更新，以防黑客用來攻擊客戶。在74個安全漏洞中，最值得注意的是命名為CVE -2023–23397的Outlook漏洞，其允許黑客繞過身分認證，輕易入侵受害者資訊設備。

網路媒體BleepingComputer報導，由俄國軍事情報局（GRU）支持的黑客組織在2022年4月中旬至12月之間，積極利用CVE -2023–23397展開15個政府、軍事、能源與運輸單位的網絡攻擊。

微軟在報告中提到:攻擊者透過發送特製電子郵件以利用此漏洞」。當Outlook用戶檢索和處理時就會觸發CVE -2023–23397，即使是在預覽該惡意郵件之前都會導致黑客得以繞過NTLM身分驗證，以展開後續攻擊。」

據悉，CVE -2023–23397影響所有Windows作業系統的Outlook版本；不過，Android、iOS 與macOS系統下的Outlook並不受該漏洞影響。另外，Outlook網上版與Microsoft 365等網上服務並不支援新技術 LAN 管理器(NTLM)身分驗證，因此也不受本漏洞影響。

微軟建議，為了降低損失，客戶應立即透過更新，修補CVE-2023–23397。同時，該公司還發布一款專用的PowerShell 版本，協助用戶在Exchange軟體中搜尋是否已成為黑客利用該漏洞攻擊的目標。假使發現潛在的惡意郵件，該版本還可以幫助客戶修改或刪除之。

威脅情報公司 Mandiant 表示，它認為 CVE-2023–23397 Microsoft Outlook 零日漏洞已被利用近一年，目的是針對組織和關鍵基礎設施。Mandiant 表示它創建了“UNC4697”來跟踪 CVE-2023–23397 的早期利用，公開歸因於與俄羅斯軍事情報 (GRU) 相關的威脅參與者 APT28。 自 2022 年 年 4 月以來，該漏洞已被用於針對位於波蘭、羅馬尼亞、土耳其和烏克蘭的政府、國防、物流、運輸和能源目標。

Google Cloud-Mandiant 情報分析負責人 John Hultquist 表示：「這進一步證明了侵略性、破壞性和破壞性的網絡攻擊可能不會局限於烏克蘭。這些間諜過往有著成功逃避我們的注意方面長期的記錄。 此外，對於欲在短期內獲取大量資金的國家級攻擊者和犯罪分子來說，這是一個極好的工具。 」