APT28-hoz kötött adathalászat
2023 márciusától kezdve a Proofpoint kutatói megfigyelték, hogy a TA422 nevű orosz fejlett tartós fenyegetés (APT) könnyedén használja a javított sebezhetőségeket, hogy számos európai és észak-amerikai szervezetet célba vegyen. A TA422 átfedésben van az APT28, Forest Blizzard, Pawn Storm, Fancy Bear és BlueDelta fedőnevekkel, és az Egyesült Államok hírszerző közössége az orosz katonai hírszerzésnek (GRU) tulajdonítja. Míg a TA422 hagyományos célzott tevékenységet folytatott ebben az időszakban, kihasználva a Mockbint és az InfinityFree-t az URL átirányításhoz, a Proofpoint a CVE-2023-23397 – a Microsoft Outlook jogosultságok megemelése sebezhetőségét kihasználó kampányokban küldött e-mailek várt mennyiségétől való jelentős eltérést figyelt meg. Ez több mint 10 000 e-mailt tartalmazott, amelyeket a támadó egyetlen e-mail szolgáltatótól küldött védelmi, űrkutatási, technológiai, kormányzati és gyártási szervezetekhez, és alkalmanként kisebb mennyiségben felsőoktatási, építőipari és tanácsadói szervezetekhez. A Proofpoint kutatói azonosítottak olyan TA422 kampányokat is, amelyek a WinRAR távoli futtatású sebezhetőségét, a CVE-2023-38831-et használják ki.
A Lengyel Cyber Command is hasonló támadásokról számolt be.
A Proofpoint megosztott az azonosításhoz szükséges mutatókat.
