Winter Vivern: „Die neueste Cyber-Bedrohung für europäische Regierungen“

Reading Time: ( Word Count: )

April 1, 2023
Nextdoorsec-course

Winter Vivern, ein APT-Akteur (Advanced Persistent Threat), hat seine Cyberspionage-Kampagne ausgeweitet und zielt nun auf Beamte in Europa und den USA ab. Bei dieser Kampagne wird eine ungepatchte Zimbra-Schwachstelle in öffentlich zugänglichen Webmail-Portalen ausgenutzt, die es der Gruppe ermöglicht, auf die E-Mail-Postfächer von Regierungsstellen in Europa zuzugreifen.

Proofpoint, eine Sicherheitsfirma für Unternehmen, verfolgt die Aktivitäten unter dem Namen TA473 (UAC-0114). Die Firma beschreibt TA473 als eine gegnerische Besatzung, deren Operationen mit den geopolitischen Zielen Russlands und Weißrusslands übereinstimmen.

Trotz ihrer mangelnden Raffinesse wurde die Gruppe mit jüngsten Angriffen auf staatliche Behörden in der Ukraine und Polen, auf Regierungsbeamte in Indien, Litauen, der Slowakei und sogar auf den Vatikan in Verbindung gebracht.

Die Gruppe verwendet Scanning-Tools wie Acunetix, um nicht gepatchte Webmail-Portale von Zielunternehmen zu finden. Anschließend versenden sie unter dem Deckmantel gutartiger Regierungsbehörden Phishing-E-Mails, die mit gefälschten URLs versehen sind.

Lesen Sie auch: „MacStealer Malware schlägt zu: iCloud-Schlüsselbunddaten und Passwörter in Gefahr für Apple-Nutzer“.

Winter Vivern

Diese URLs manipulieren den Cross-Site-Scripting-Fehler (XSS) in Zimbra, um benutzerdefinierte Base64-kodierte JavaScript-Nutzdaten in den Webmail-Portalen der Opfer zu verwalten, wodurch die Gruppe Benutzernamen, Kennwörter und Zugriffstoken exfiltrieren kann.

Jede JavaScript-Nutzlast wird für das anvisierte Webmail-Portal überwacht, was darauf hindeutet, dass die Gruppe bereit ist, Zeit und Ressourcen zu investieren, um die Wahrscheinlichkeit einer Entdeckung zu verringern. Laut Proofpoint ist der beharrliche Ansatz von TA473 beim Scannen von Schwachstellen und der Ausnutzung von ungepatchten Schwachstellen ein Schlüsselfaktor für den Erfolg.

Diese Erkenntnisse decken sich mit Enthüllungen, dass mindestens drei russische Geheimdienste (FSB, GRU und SVR) Software und Hacking-Tools verwenden, die von einem in Moskau ansässigen IT-Unternehmen namens NTC Vulkan entwickelt wurden.

Dazu gehören Frameworks wie Scan, Amesit und Krystal-2B, die koordinierte IO/OT-Angriffe auf Bahn- und Pipelinekontrollsysteme simulieren.

Mandiant, ein auf Bedrohungsanalysen spezialisiertes Unternehmen, stellt fest, dass die von NTC Vulkan in Auftrag gegebenen Projekte einen Einblick in die Investitionen russischer Nachrichtendienste in die Entwicklung von Fähigkeiten zur Bereitstellung effizienterer Funktionen zu Beginn des Lebenszyklus von Angriffen geben – ein Teil der Verfahren, der oft nicht sichtbar ist.

Saher

Saher

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Die Popularität des Esports und seine Trends

Esports, die Welt der wettbewerbsorientierten Videospiele, ist in den letzten Jahren sehr populär geworden. Es ...

Online-Spiele, bei denen Sie Geld gewinnen können

Im digitalen Zeitalter sind Online-Spiele mehr als nur eine Quelle der Unterhaltung geworden. Es hat sich zu einer ...

Netstat vs. Nmap vs. Netcat: Verstehen der Unterschiede

In der Netzwerk- und Systemadministration helfen verschiedene Tools den Fachleuten bei der Analyse und ...

Nmap vs. Nessus: Ein umfassender Vergleich

Was die Netzwerksicherheit und die Bewertung von Schwachstellen anbelangt, so sind Nmap und Nessus zwei populäre ...
0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert