森林暴雪（又名STRONTIUM、APT28和Fancy Bear）被认为与俄罗斯军事情报机构有联系或支持。微软敦促客户安装Exchange Server安全补丁并更新WinRAR以阻止森林暴雪黑客。

2023年3月，Microsoft的威胁防护情报团队发现了一个严重漏洞(CVE-2023-23397)，该漏洞使 Microsoft Outlook 客户面临威胁行为者的潜在利用。该漏洞允许攻击者窃取Net-NTLMv2哈希值并获得对用户帐户的访问权限。

该漏洞是由发送给用户的特制电子邮件引起的。打开消息后，用户的Net-NTLMv2哈希值将传输给攻击者，攻击者随后可以利用该哈希值窃取用户的密码。

现在，该团队在更新的博客文章中透露，他们已发现证据表明威胁组织Forest Blizzard（又名STRONTIUM、APT28和Fancy Bear）已利用该漏洞来攻击组织。

供您参考，该组织被认为与俄罗斯军事情报机构有联系或得到俄罗斯军事情报机构的支持。值得注意的是，该组织据称由俄罗斯格鲁乌官员谢尔盖·亚历山德罗维奇·莫尔加乔夫中校领导，他的电子邮件地址于2023年4月被乌克兰黑客组织网络抵抗组织泄露。

森林暴雪以其对关键基础设施的关注而闻名，包括政府实体、能源部门、交通系统和非政府组织。其业务遍及中东、美国和欧洲。

微软在12月4日的博文中还强调，截至2023年9月，森林暴雪已经利用了WinRAR中的一个0day漏洞，该漏洞最初于2023年8月发现（CVE-2023-38831）。那时，多个高级持续威胁(APT)组织已瞄准130个组织，成功窃取了交易员的资金。

尽管针对WinRAR的0day漏洞提供了补丁，但威胁行为者仍坚持以继续使用未修补版本的软件的系统为目标。

好消息是微软与波兰网络司令部（DKWOC）合作对抗森林暴雪的行动。截至撰写本文时，Microsoft已发布该漏洞的补丁 (CVE-2023-23397)。

该补丁适用于所有受支持的Outlook版本。敦促用户尽快安装该补丁。

Microsoft Exchange客户应及时安装最新的安全补丁并更新至最新版本。还建议WinRAR用户进行更新，以降低成为Forest Blizzard APT组织受害者的风险。

除了安装补丁外，用户还可以采取以下措施来保护自己免受此漏洞的影响：

1. 为您的Outlook帐户使用强密码。
2. 请小心您打开的电子邮件。
3. 为您的Outlook帐户启用双因素身份验证。
4. 不要打开来自未知发件人的电子邮件或包含附件的电子邮件。