Exchange szerverek kihasználása
A lengyel Kiber Parancsnokság megfigyelte egy olyan technika alkalmazását, amely a Microsoft Exchange szervereken belül a postafiókok mappáinak jogosultságait módosította. Ez lehetővé teszi a támadó számára, hogy rejtett, jogosulatlan hozzáférést biztosítson az e-mail levelezéshez, és a CVE-2023-23397 (Microsoft Outlook sebezhetőség) vagy a jelszószóró permetezés révén történő e-mail fiókokhoz való hozzáférés megszerzése után alkalmazták. A CVE-2023-23397-et használó tevékenységeket először a CERT-UA fedezte fel, és a Microsoft nyilvánosságra hozta. A lengyelországi jogalanyok elleni akciókat a CSIRT NASK jelentette. A POL Cyber Command által végzett elemzések eredményeként megerősítést nyertek a lengyelországi állami és magánszervezetek elleni rosszindulatú cselekmények.
E fenyegetés azonosítása és mérséklése érdekében a POL Cyber Command kifejlesztett egy olyan eszközkészletet, amely a Microsoft Exchange e-mail környezetben futtatható. Jelen esetben a Nemzeti Kiberbiztonsági Rendszer keretében a CSIRT MON, a CSIRT GOV, a CSIRT NASK, a Katonai Elhárító Szolgálat és a Microsoft támogatásával együttműködve hajtották végre az intézkedéseket. Mindazonáltal a POL Cyber Command úgy értékeli, hogy a jelentés közzétételének időpontjában ezt a technikát az ellenfél aktívan használja. A POL Cyber Command a saját erőforrásokon belüli tevékenységek azonosítására kifejlesztett eszközök használatát ajánlja.
A POL Cyber Command által megfigyelt, a CVE-2023-23397 sebezhetőség kihasználásával kapcsolatos tevékenységek és egy széles körű kampány, amelyben az ellenfél jelszószóró technikát használ, átfedésben vannak az USA és a brit kormány szervei és a Microsoft vállalat által leírt, az APT28 és a Forrest Blizzard csoportokkal kapcsolatos tevékenységekkel.
