Winter Vivern, un acteur de menaces persistantes avancées (APT), a étendu sa campagne de cyberespionnage en ciblant des fonctionnaires en Europe et aux États-Unis. Cette campagne consiste à exploiter une vulnérabilité Zimbra non corrigée dans les portails de messagerie Web publics, ce qui permet au groupe d’accéder aux boîtes aux lettres électroniques d’entités gouvernementales en Europe.
Proofpoint, une société spécialisée dans la sécurité des entreprises, suit cette activité sous le nom de TA473 (UAC-0114). L’entreprise décrit le TA473 comme étant un équipage hostile dont les opérations s’alignent sur les objectifs géopolitiques de la Russie et de la Biélorussie.
Malgré son manque de sophistication, le groupe a été associé à des attaques récentes visant les autorités de l’Ukraine et de la Pologne, des fonctionnaires en Inde, en Lituanie, en Slovaquie et même au Vatican.
Le groupe utilise des outils d’analyse tels qu’Acunetix pour trouver des portails de messagerie web non corrigés appartenant aux entreprises ciblées. Ils envoient ensuite des courriels d’hameçonnage sous l’apparence d’agences gouvernementales bienveillantes, avec des messages contenant des URL piégés.
Ces URL manipulent l’erreur de script intersite (XSS) dans Zimbra pour gérer des charges utiles JavaScript personnalisées codées en Base64 dans les portails de messagerie web des victimes, ce qui permet au groupe d’exfiltrer des noms d’utilisateur, des mots de passe et des jetons d’accès.
Chaque charge utile JavaScript est surveillée jusqu’au portail webmail ciblé, ce qui indique que le groupe est prêt à investir du temps et des ressources pour réduire les possibilités de détection. Selon Proofpoint, l’approche persistante de TA473 en matière d’analyse des vulnérabilités et d’exploitation des failles non corrigées est un facteur clé de son succès.
Ces résultats coïncident avec les révélations selon lesquelles au moins trois agences de renseignement russes (FSB, GRU et SVR) utilisent des logiciels et des outils de piratage conçus par un sous-traitant informatique basé à Moscou et appelé NTC Vulkan.
Il s’agit notamment de cadres tels que Scan, Amesit et Krystal-2B, qui simulent des attaques IO/OT coordonnées contre les systèmes de contrôle des chemins de fer et des oléoducs.
Mandiant, une société spécialisée dans le renseignement sur les menaces, note que les projets sous contrat de NTC Vulkan donnent un aperçu de l’investissement des services de renseignement russes dans l’invention de capacités permettant de déployer des fonctions plus efficaces au début du cycle de vie de l’attaque, une partie des procédures souvent dissimulée.
0 Comments