El parlamento noruego, afectado por ProxyLogon

Hace unos días hablábamos de esta vulnerabilidad y un escáner lanzado por Microsoft para detectar la misma. Hoy contamos cómo ha afectado esta al parlamento de Noruega.

Unos meses después del último ciberataque exitoso a este parlamento donde mediante ataques de fuerza bruta consiguieron comprometer las cuentas de correo varios de varios parlamentarios y empleados (https://securityaffairs.co/wordpress/107793/cyber-warfare-2/norway-parliament-hacked.html) atribuido al grupo ruso APT28, el parlamento Noruego vuelve a ser víctima de un ciberataque, en este caso se trata de una explotación exitosa de la vulnerabilidad ProxyLogon para exfiltrar información.

Si bien no se cree que el grupo APT28 sea esta vez quien este detrás del ataque, según reporta ESET, se atribuye que tras este ataque se encuentren grupos APT como Hafnium, LuckyMouse o Calypso que están explotando activamente esta vulnerabilidad. 

Hasta el momento el NSM (Norwegian National Security Authority) no ha hecho aclaraciones más allá de que están contribuyendo con el análisis de la intrusión y la respuesta a incidentes.

Noticias de última hora revelan que este mismo vector de entrada esta siendo utilizado para la difusión de ransomware.

Más información:

https://www.reuters.com/article/us-norway-cyber/norways-parliament-hit-by-new-hack-attack-idUSKBN2B21TX?&web_view=true

https://www.bleepingcomputer.com/news/security/norway-parliament-data-stolen-in-microsoft-exchange-attack/

https://www.bleepingcomputer.com/news/security/state-hackers-rush-to-exploit-unpatched-microsoft-exchange-servers/

https://www.computerweekly.com/news/252497656/Norwegian-government-falls-victim-to-Microsoft-attacks

https://nsm.no/about-nsm/news/statement-regarding-the-cyber-incident-at-the-norwegian-parliament

https://thehackernews.com/2021/03/icrosoft-exchange-ransomware.html

La entrada El parlamento noruego, afectado por ProxyLogon se publicó primero en Una al Día.