Le groupe Fancy Bear (APT28) toujours en campagne
décembre 2023 par Unit 42 de Palo Alto Networks
Les chercheurs de l’Unité 42 ont découvert une troisième campagne récemment active dans laquelle Fighting Ursa a également utilisé une vulnérabilité de Microsoft Outlook. Le groupe a mené cette campagne la plus récente entre septembre et octobre 2023, ciblant au moins neuf organisations dans sept pays.
L’Unit 42 de Palo Alto Networks dévoile ce jour une nouvelle recherche qui révèle de nouvelles preuves et informations sur les efforts en cours de l’acteur menaçant soutenu par la Russie, Fighting Ursa (alias APT28 / Fancy Bear).
L’analyse de l’Unit 42 présente les résultats de trois campagnes APT au cours des 20 derniers mois qui ont ciblé au moins 30 organisations dans 14 pays, offrant ainsi du renseignement stratégique au gouvernement russe et à son armée.
La nouvelle recherche Unit 42 souligne que tout au long des trois campagnes, différentes organisations issus de secteurs stratégiques et des entités d’infrastructures critiques ont été ciblées fournissant ainsi des informations diplomatiques, économiques et militaires à forte valeur ajoutée.
Les faits saillants de cette analyse incluent :
• Le ciblage d’organisations des pays membres de l’OTAN, à l’exception des entités situées en Ukraine, en Jordanie et aux Émirats arabes unis.
• Les secteurs critiques ciblés sont notamment l’énergie, les transports, les télécommunications, l’informatique et la base industrielle militaire.
• Chaque campagne exploitait une vulnérabilité de Windows Microsoft Outlook appelé CVE-2023-23397, qui a lancé des attaques par relais NTLM sur les victimes. Ils continuent d’utiliser cette vulnérabilité même si leur activité a été exposée à plusieurs reprises.
• Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune interaction de l’utilisateur pour être exploitée.