2024 végén egy különleges kibertámadási kampányra derült fény, amely a Microsoft Outlook levelezőrendszert használta fel kártékony tevékenységéhez. A REF7707 néven azonosított művelet során a támadók a mindennapos e-mail forgalomba rejtették tevékenységüket, kihasználva azt az eszközt, amely szinte minden szervezet működésének alapvető része.

Egy precízen megtervezett kampány anatómiája

A kezdetben Délkelet-Ázsiában észlelt támadássorozat hamar túlnőtt eredeti keretein. Az Elastic Security Labs által végzett nyomozás feltárta, hogy egy rendkívül összetett, több országra kiterjedő műveletről van szó, amely mögött egy jelentős erőforrásokkal rendelkező, kifinomult támadócsoport áll.

A kampány elsősorban kormányzati szerveket és kritikus infrastruktúrákat vett célba, különös tekintettel a védelmi és külügyi szektorokra. A támadók olyan fejlett módszereket alkalmaztak, amelyek lehetővé tették számukra, hogy hosszú ideig észrevétlenek maradjanak a megtámadott rendszerekben.

A REF7707 kampány különlegessége abban rejlik, ahogyan ötvözi a hétköznapi irodai eszközök kihasználását a fejlett technikai megoldásokkal. A támadók infrastruktúrája több kontinensen átívelő hálózatot alkot, amely a legitimitás látszatát keltő domain neveket és szervereket használ az észrevétlen működéshez.

Az alábbiakban részletesen elemezzük a kampány technikai aspektusait, bemutatjuk a támadók által alkalmazott módszereket, és megvizsgáljuk, milyen következményekkel járhat ez a típusú fenyegetés a különböző szervezetek számára.