تعليق من فاير آي حول التحذير الصادر عن القيادة الإلكترونية الأمريكية‎

يقول فريق الممارسات المتقدمة لدى فاير آي:

نتيجة لملاحظة شركة فاير آي قامت بتقديم أدلة للجمهور على قيام العديد من المقرصنين الإيرانيين باستخدام الثغرة الأمنية في برنامج البريد الإلكتروني Outlook المعروفه ب ( CVE-2017-11774) التي استغلوها خلال العام الماضي. تنسب فاير آي المؤشرات في التحذير الصادر عن القيادة الإلكترونية الأمريكية حول CVE-2017-11774 إلى مجموعة التهديد الإيرانية APT33. تتوافق التقنيات المستخدمة مع سلوك مجموعة APT33 وفقاً للمدونة العامة “OVERRULED” للمنشورة في ديسمبر 2018 – بالإضافة إلى إن الحملة الحالية لمجموعة APT33 التي تم تحدديها في يونيو وتتضمن زيادة الاستهداف للعديد من المؤسسات التي تتخذ من الولايات المتحدة مقراً لها.

لا يزال استغلال الخصم لـ CVE-2017-11774 يسبب الارتباك للعديد من المتخصصين في مجال الأمن. إذا أطلق برنامج الـ Outlook برمجية ضارة، فهناك افتراض شائع هو أن المستخدم المتأثر قد تم خداعه – وهذا ليس ما يحدث هنا. قد تضيع المنظمة وقتاً ثميناً دون التركيز على أصل المشكلة. يحتاج الخصم إلى بيانات اعتماد مستخدم صالحة قبل التمكن من استغلال هذا التوجه. بالنسبة إلى مجموعة APT33، غالباً ما تحصل عليها من خلال استخدام كلمات المرور الشائعة الاستخدام.

على مدى عام على الأقل نجحت مجموعتي APT33 وAPT34 باستخدام هذه التقنية بسبب افتقار المنظمات إلى أدوات التحكم في الوصول إلى البريد الإلكتروني المتعددة العوامل المناسبة وتحسينات تطبيق البريد الإلكتروني الخاصة بـ CVE-2017-11774.