Europese en Noord-Amerikaanse defensie- en overheidsinstellingen waren de afgelopen dagen het doelwit van een phishingaanval door Russische cybercriminelen. Dat meldt Microsoft. De aanval maakt misbruik van een tot dusver onbekende kwetsbaarheid waarbij criminelen kwaadaardige code via Word-documenten kunnen injecteren. Gemanipuleerde documenten hadden betrekking op de Oekraïne-top tijdens de Navo-bijeenkomst in Vilnius.
De zero-day-kwetsbaarheid kreeg van Microsoft het kenmerk CVE-2023-36884. Hij wordt toegeschreven aan Storm-0978, een Russische groep cybercriminelen die ransomware, afpersing en spionage-activiteiten uitvoert. Ze gebruiken daarvoor de eerder ontdekte RomCom-backdoor.
RomCom is een toepassing die op de achtergrond wordt geïnstalleerd op de it-systemen van degene die klikt op een besmette link in bijvoorbeeld een Word-document. De toepassing kan later worden misbruikt, bijvoorbeeld voor het ontfutselen van inloggegevens.
Defender
Volgens het techbedrijf onderschept Microsoft 365 Defender de meeste activiteiten van Storm-0978. Organisaties die Defender for Office 365 gebruiken, zouden zijn beschermd tegen de nieuwe phishingaanval CVE-2023-36884. Dit zou ook gelden voor gebruikers van recente Microsoft 365 apps.
Microsoft adviseert degene die Defender niet gebruiken om de registry key ‘Feature Block Cross Protocol File Navigation’ aan te maken. Er is geen patch beschikbaar.
