IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Winter Vivern APT se zaměřuje na evropské vládní subjekty se zranitelností Zimbra

Winter Vivern APT Zimbra Vulnerability

Aktér s pokročilými perzistentními hrozbami (APT) známý jako Winter Vivern se nyní zaměřuje na úředníky v Evropě a USA v rámci probíhající kybernetické špionážní kampaně.

„TA473 minimálně od února 2023 nepřetržitě využívá neopravenou zranitelnost Zimbry na veřejně přístupných webmailových portálech, která jim umožňuje získat přístup k e-mailovým schránkám vládních subjektů v Evropě,“ uvedl Proofpoint v nové zprávě.

Podniková bezpečnostní firma sleduje aktivitu pod svým vlastním jménem TA473 (aka UAC-0114) a popisuje ji jako nepřátelskou posádku, jejíž operace jsou v souladu s ruskými a běloruskými geopolitickými cíli.

Co postrádá na propracovanosti, to dohání vytrvalostí. V posledních měsících byla tato skupina spojována s útoky zaměřenými na státní orgány Ukrajiny a Polska a také na vládní úředníky v Indii, Litvě, na Slovensku a ve Vatikánu.

Vlna narušení související s NATO znamená zneužití CVE-2022-27926 (CVSS skóre: 6,1), nyní opravené středně závažné bezpečnostní chyby v Zimbra Collaboration, která by mohla umožnit neověřeným útočníkům spouštět libovolný JavaScript nebo HTML kód.

To také zahrnuje použití skenovacích nástrojů, jako je Acunetix, k identifikaci neopravených webmailových portálů patřících cílovým organizacím s cílem posílat phishingové e-maily pod rouškou benigních vládních agentur.

Zprávy přicházejí s nastraženými adresami URL, které využívají chyby skriptování mezi stránkami (XSS) v Zimbře ke spouštění vlastních dat JavaScriptu kódovaných Base64 v rámci webmailových portálů obětí za účelem exfiltrace uživatelských jmen, hesel a přístupových tokenů.

Stojí za zmínku, že každá datová část JavaScriptu je přizpůsobena cílenému portálu webové pošty, což naznačuje, že aktér hrozby je ochoten investovat čas a zdroje, aby snížil pravděpodobnost odhalení.

„Trvalý přístup TA473 ke skenování zranitelností a využívání neopravených zranitelností ovlivňujících veřejně přístupné webmailové portály je klíčovým faktorem úspěchu tohoto aktéra,“ řekl Proofpoint.

„Zaměření skupiny na trvalý průzkum a pečlivé studium veřejně vystavených webmailových portálů za účelem zpětného inženýrství JavaScriptu schopného ukrást uživatelská jména, hesla a tokeny CSRF dokazuje její investice do kompromitování konkrétních cílů.“

Zjištění přicházejí uprostřed odhalení, že nejméně tři ruské zpravodajské agentury, včetně FSB, GRU (propojené s Sandworm) a SVR (propojené s APT29), pravděpodobně používají software a hackerské nástroje vyvinuté dodavatelem IT se sídlem v Moskvě jménem NTC Vulkan.

Zdroj: thehackernews.com