俄罗斯军方黑客攻击北约快速反应部队

帕洛阿尔托网络公司(Palo Alto Networks)42部队的研究人员观察到，他们在大约20个月的时间里，利用 CVE-2023-23397的漏洞，对14个国家的至少30个组织发起了三次攻击，这些组织可能对俄罗斯军方和政府具有重要的战略情报意义。

这些俄罗斯黑客还被追踪到“Fighting Ursa, Fancy Bear, Sofacy”，而且他们之前一直与俄罗斯军事情报机构——Russia's Main Intelligence Directorate(GRU)有联系。

2022年3月，也就是俄罗斯入侵乌克兰三周后，他们开始利用 Outlook 的安全漏洞作为“零日”攻击目标，针对的是乌克兰国家移民局。

从2022年4月中旬到12月，他们入侵了欧洲大约15个政府、军队、能源和运输组织的网络，窃取了可能包含军事情报的电子邮件，以支持俄罗斯入侵乌克兰。

尽管微软在一年后的2023年3月修补了这个零日漏洞，并与一个俄罗斯黑客组织有联系，APT28运营商仍然继续使用 CVE-2023-23397漏洞窃取凭证，使他们能够通过受到攻击的网络横向移动。

5月份，当一个影响所有 Outlook Windows 版本的bypass(CVE-2023-29324)浮出水面时，攻击面进一步增加。



42部队表示，在遭到袭击的欧洲国家中，所有确认的国家都是北约(NATO)现有成员国，不包括乌克兰。

至少一个北约快速部署部队(高度准备部队总部能够迅速部署指挥北约部队)也成为目标。

此外，除了欧洲防务、外交事务和内务机构之外，APT28的重点还延伸到涉及能源生产和分配、管道基础设施运营以及材料处理、人员和空运的关键基础设施组织。

对目标使用零日漏洞攻击表明它具有重要价值。它还表明，目前对该目标的接触和情报在当时是不够的。

“在第二次和第三次战役中，Fighting Ursa继续使用一种已经被认为是他们的技术，但没有改变他们的技术。这表明，这些行动产生的访问和情报超过了公开露面和发现的后果。

“出于这些原因，这三次行动的目标组织很可能是俄罗斯情报部门优先考虑的对象。”

10月，法国网络安全机构(ANSSI)披露，俄罗斯黑客利用 Outlook 的安全漏洞攻击法国各地的政府机构、企业、教育机构、研究中心和智库。

本周，英国和五眼情报联盟的盟友还将一个名为 Seaborgium 木卫四集团(Callisto Group)和暴雪之星(Star Blizzard)的俄罗斯威胁组织与俄罗斯“中央18”联邦安全局(fSB)部门联系起来。

微软的威胁分析师阻止了针对几个欧洲北约国家的 Callisto 攻击，他们关闭了威胁分析师用于监视和收集电子邮件的微软账户。

美国政府现在悬赏1000万美元悬赏卡利斯托成员及其活动的信息。