Зловмисники змінюють права доступу до тек у поштових скриньках жертв.
Хакерське угруповання APT28 (також відоме як Forest Blizzard, BlueDelta, Fancy Bear, FROZENLAKE, Iron Twilight, Sednit, Sofacy і TA422 – імен насправді не менше ніж у сатани), пов’язане з підрозділом ГРУ росії, використовує вразливість нульового дня для підвищення привілеїв і проведення ретрансляційних атак. Мета – проникнення до облікових записів жертв на серверах Exchange. Завдяки тому, що зловмисник проходить автентифікацію від імені жертви, він може зберігати доступ до вмісту поштових скриньок навіть після втрати прямого доступу.
Раніше у Microsoft повідомили, що російські хакери використовували цю вразливість для атак на державний, транспортний, військовий та енергетичний сектори Європи з квітня 2022 року. Національне агентство кібербезпеки Франції також звинуватило APT28 в атаках на урядові установи, науково-дослідні інститути та університети у Франції та Україні. Популярність Microsoft Outlook у корпоративних середовищах робить цей сервіс вигідним вектором і одним з найважливіших «шлюзів» для кібератак. Microsoft регулярно випускає оновлення для виявлених вразливостей, однак хакери, схоже, щоразу випереджають компанію бодай на пів кроку. Підґрунтя у такого роду атак здебільшого політичне – зловмисників цікавлять не гроші, а конфіденційна інформація.
