Winter Vivern, ein APT-Akteur (Advanced Persistent Threat), hat seine Cyberspionage-Kampagne ausgeweitet und zielt nun auf Beamte in Europa und den USA ab. Bei dieser Kampagne wird eine ungepatchte Zimbra-Schwachstelle in öffentlich zugänglichen Webmail-Portalen ausgenutzt, die es der Gruppe ermöglicht, auf die E-Mail-Postfächer von Regierungsstellen in Europa zuzugreifen.

Proofpoint, eine Sicherheitsfirma für Unternehmen, verfolgt die Aktivitäten unter dem Namen TA473 (UAC-0114). Die Firma beschreibt TA473 als eine gegnerische Besatzung, deren Operationen mit den geopolitischen Zielen Russlands und Weißrusslands übereinstimmen.

Trotz ihrer mangelnden Raffinesse wurde die Gruppe mit jüngsten Angriffen auf staatliche Behörden in der Ukraine und Polen, auf Regierungsbeamte in Indien, Litauen, der Slowakei und sogar auf den Vatikan in Verbindung gebracht.

Die Gruppe verwendet Scanning-Tools wie Acunetix, um nicht gepatchte Webmail-Portale von Zielunternehmen zu finden. Anschließend versenden sie unter dem Deckmantel gutartiger Regierungsbehörden Phishing-E-Mails, die mit gefälschten URLs versehen sind.

Lesen Sie auch: „MacStealer Malware schlägt zu: iCloud-Schlüsselbunddaten und Passwörter in Gefahr für Apple-Nutzer“.

Diese URLs manipulieren den Cross-Site-Scripting-Fehler (XSS) in Zimbra, um benutzerdefinierte Base64-kodierte JavaScript-Nutzdaten in den Webmail-Portalen der Opfer zu verwalten, wodurch die Gruppe Benutzernamen, Kennwörter und Zugriffstoken exfiltrieren kann.

Jede JavaScript-Nutzlast wird für das anvisierte Webmail-Portal überwacht, was darauf hindeutet, dass die Gruppe bereit ist, Zeit und Ressourcen zu investieren, um die Wahrscheinlichkeit einer Entdeckung zu verringern. Laut Proofpoint ist der beharrliche Ansatz von TA473 beim Scannen von Schwachstellen und der Ausnutzung von ungepatchten Schwachstellen ein Schlüsselfaktor für den Erfolg.

Diese Erkenntnisse decken sich mit Enthüllungen, dass mindestens drei russische Geheimdienste (FSB, GRU und SVR) Software und Hacking-Tools verwenden, die von einem in Moskau ansässigen IT-Unternehmen namens NTC Vulkan entwickelt wurden.

Dazu gehören Frameworks wie Scan, Amesit und Krystal-2B, die koordinierte IO/OT-Angriffe auf Bahn- und Pipelinekontrollsysteme simulieren.

Mandiant, ein auf Bedrohungsanalysen spezialisiertes Unternehmen, stellt fest, dass die von NTC Vulkan in Auftrag gegebenen Projekte einen Einblick in die Investitionen russischer Nachrichtendienste in die Entwicklung von Fähigkeiten zur Bereitstellung effizienterer Funktionen zu Beginn des Lebenszyklus von Angriffen geben – ein Teil der Verfahren, der oft nicht sichtbar ist.