Winter Vivern: “Die neueste Cyber-Bedrohung für europäische Regierungen”

Reading Time: ( Word Count: )

April 1, 2023
Nextdoorsec-course

Winter Vivern, ein APT-Akteur (Advanced Persistent Threat), hat seine Cyberspionage-Kampagne ausgeweitet und zielt nun auf Beamte in Europa und den USA ab. Bei dieser Kampagne wird eine ungepatchte Zimbra-Schwachstelle in öffentlich zugänglichen Webmail-Portalen ausgenutzt, die es der Gruppe ermöglicht, auf die E-Mail-Postfächer von Regierungsstellen in Europa zuzugreifen.

Proofpoint, eine Sicherheitsfirma für Unternehmen, verfolgt die Aktivitäten unter dem Namen TA473 (UAC-0114). Die Firma beschreibt TA473 als eine gegnerische Besatzung, deren Operationen mit den geopolitischen Zielen Russlands und Weißrusslands übereinstimmen.

Trotz ihrer mangelnden Raffinesse wurde die Gruppe mit jüngsten Angriffen auf staatliche Behörden in der Ukraine und Polen, auf Regierungsbeamte in Indien, Litauen, der Slowakei und sogar auf den Vatikan in Verbindung gebracht.

Die Gruppe verwendet Scanning-Tools wie Acunetix, um nicht gepatchte Webmail-Portale von Zielunternehmen zu finden. Anschließend versenden sie unter dem Deckmantel gutartiger Regierungsbehörden Phishing-E-Mails, die mit gefälschten URLs versehen sind.

Lesen Sie auch: “MacStealer Malware schlägt zu: iCloud-Schlüsselbunddaten und Passwörter in Gefahr für Apple-Nutzer”.

Winter Vivern

Diese URLs manipulieren den Cross-Site-Scripting-Fehler (XSS) in Zimbra, um benutzerdefinierte Base64-kodierte JavaScript-Nutzdaten in den Webmail-Portalen der Opfer zu verwalten, wodurch die Gruppe Benutzernamen, Kennwörter und Zugriffstoken exfiltrieren kann.

Jede JavaScript-Nutzlast wird für das anvisierte Webmail-Portal überwacht, was darauf hindeutet, dass die Gruppe bereit ist, Zeit und Ressourcen zu investieren, um die Wahrscheinlichkeit einer Entdeckung zu verringern. Laut Proofpoint ist der beharrliche Ansatz von TA473 beim Scannen von Schwachstellen und der Ausnutzung von ungepatchten Schwachstellen ein Schlüsselfaktor für den Erfolg.

Diese Erkenntnisse decken sich mit Enthüllungen, dass mindestens drei russische Geheimdienste (FSB, GRU und SVR) Software und Hacking-Tools verwenden, die von einem in Moskau ansässigen IT-Unternehmen namens NTC Vulkan entwickelt wurden.

Dazu gehören Frameworks wie Scan, Amesit und Krystal-2B, die koordinierte IO/OT-Angriffe auf Bahn- und Pipelinekontrollsysteme simulieren.

Mandiant, ein auf Bedrohungsanalysen spezialisiertes Unternehmen, stellt fest, dass die von NTC Vulkan in Auftrag gegebenen Projekte einen Einblick in die Investitionen russischer Nachrichtendienste in die Entwicklung von Fähigkeiten zur Bereitstellung effizienterer Funktionen zu Beginn des Lebenszyklus von Angriffen geben – ein Teil der Verfahren, der oft nicht sichtbar ist.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *