Patch Now: Forest Blizzard Targets Exchange Servers with Outlook Zero-Day Exploit
2023/12/05 SecurityOnline — 進化を続けるサイバーセキュリティの世界において、世界中のデジタル防衛者の背筋を凍らせる新たな脅威が姿を現した。この Forest Blizzard は、Microsoft にはSTRONTIUM という名で追跡されており、サイバー脅威の領域において恐るべき力を示している。
ロシア由来の Forest Blizzard は、ただのハッキング集団ではない。ロシア連邦の軍事諜報機関 GRU の 26165 部隊に連なる、国家に支援される組織でもある。このグループの主な標的は、 米国/欧州/中東の政府機関や、エネルギーおよび運輸の分野に広がっている。
Forest Blizzard の手口は、洗練されたサイバー攻撃のシンフォニーとも言えるものだ。その最新の手口では、Microsoft Outlook の脆弱性 CVE-2023-23397 が積極的に悪用され、電子メール・アカウントへの不正アクセスが行われる。さらに、同グループは、主にウクライナ政府をターゲットにして、WinRAR の脆弱性 CVE-2023-38831 なども悪用しており、その適応能力の高さと貪欲さで、デジタル防御の隙を突いている。
Polish Cyber Command (DKWOC) は、国際的な協力の一環として Microsoft と提携し、Forest Blizzard の脅威と戦っている。そして、このポーランドの組織が、Forest Blizzard が用いるテクニックを特定し、その影響を軽減するためのツールと戦略を開発した。
Forest Blizzard の手口は、高度なステルス性と精度を示している。Microsoft Exchange サーバ内の、メールボックス・フォルダへのアクセス許可を変更することで、電子メール通信を傍受するための秘密の経路を作り出している。このテクニックは、Microsoft Outlook の脆弱性 CVE-2023-23397 とパスワード・スプレーを用いるものであり、ターゲットのシステムを熟知していることも判明している。
Forest Blizzard の活動は、米国/英国の政府が追跡する広範なキャンペーンの一部であり、そこには APT28 の活動も含まれるという。つまり、このグループ、は世界的な広がりを持つ持続的で進化する脅威だと言える。
Polish Cyber Command が推奨するのは、以下のガイドラインの実施である。
- Polish Cyber Command が提供するツールキットを実行し、指示された対策を実施する。ツールおよび指示は、添付の ZIP で確認できる。
- ロケーションのイベントログに基づき、別のメールボックスとフォルダを共有している、メールボックスへの接続を検出するためのメカニズムを実装する:
a. %ExchangeInstallPath%Logging\HttpProxy\Ews\
b. %ExchangeInstallPath%Logging\Ews\
c. %ExchangeInstallPath%logging\Mapihttp\Mailbox\ - ApplicationImpersonation ロールが割り当てられているアカウントを検証する。
- 組織全体の Exchange におけるメールボックスの委任設定の検証。
- Microsoft および米国/英国の政府機関により説明された推奨事項の実施。
- 潜在的な攻撃ベクトルを特定するための、電子メール・アクセス手法の監査。
昨日の 12月4日の記事である、「Microsoft Office 攻撃は 53% 増:Kaspersky Security Bulletin 2023」でも、Outlook の脆弱性 CVE-2023-23397 は、最も悪用された脆弱性の1つとして挙げられていました。よろしければ、CVE-2023-23397 で検索も、ご利用ください。何度も警告されても、なかなか無くならない脆弱性の代表格ですね。
IoT OT Security News 
You must be logged in to post a comment.