Vivern d’hiver : « La dernière cyber-menace ciblant les gouvernements européens

Reading Time: ( Word Count: )

avril 1, 2023
Nextdoorsec-course

Winter Vivern, un acteur de menaces persistantes avancées (APT), a étendu sa campagne de cyberespionnage en ciblant des fonctionnaires en Europe et aux États-Unis. Cette campagne consiste à exploiter une vulnérabilité Zimbra non corrigée dans les portails de messagerie Web publics, ce qui permet au groupe d’accéder aux boîtes aux lettres électroniques d’entités gouvernementales en Europe.

Proofpoint, une société spécialisée dans la sécurité des entreprises, suit cette activité sous le nom de TA473 (UAC-0114). L’entreprise décrit le TA473 comme étant un équipage hostile dont les opérations s’alignent sur les objectifs géopolitiques de la Russie et de la Biélorussie.

Malgré son manque de sophistication, le groupe a été associé à des attaques récentes visant les autorités de l’Ukraine et de la Pologne, des fonctionnaires en Inde, en Lituanie, en Slovaquie et même au Vatican.

Le groupe utilise des outils d’analyse tels qu’Acunetix pour trouver des portails de messagerie web non corrigés appartenant aux entreprises ciblées. Ils envoient ensuite des courriels d’hameçonnage sous l’apparence d’agences gouvernementales bienveillantes, avec des messages contenant des URL piégés.

Lire aussi : « Le logiciel malveillant MacStealer frappe : les données du trousseau iCloud et les mots de passe des utilisateurs d’Apple sont en danger ».

Viverne d'hiver

Ces URL manipulent l’erreur de script intersite (XSS) dans Zimbra pour gérer des charges utiles JavaScript personnalisées codées en Base64 dans les portails de messagerie web des victimes, ce qui permet au groupe d’exfiltrer des noms d’utilisateur, des mots de passe et des jetons d’accès.

Chaque charge utile JavaScript est surveillée jusqu’au portail webmail ciblé, ce qui indique que le groupe est prêt à investir du temps et des ressources pour réduire les possibilités de détection. Selon Proofpoint, l’approche persistante de TA473 en matière d’analyse des vulnérabilités et d’exploitation des failles non corrigées est un facteur clé de son succès.

Ces résultats coïncident avec les révélations selon lesquelles au moins trois agences de renseignement russes (FSB, GRU et SVR) utilisent des logiciels et des outils de piratage conçus par un sous-traitant informatique basé à Moscou et appelé NTC Vulkan.

Il s’agit notamment de cadres tels que Scan, Amesit et Krystal-2B, qui simulent des attaques IO/OT coordonnées contre les systèmes de contrôle des chemins de fer et des oléoducs.

Mandiant, une société spécialisée dans le renseignement sur les menaces, note que les projets sous contrat de NTC Vulkan donnent un aperçu de l’investissement des services de renseignement russes dans l’invention de capacités permettant de déployer des fonctions plus efficaces au début du cycle de vie de l’attaque, une partie des procédures souvent dissimulée.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

« Apple neutralise les vulnérabilités exploitées : Une mise à jour complète »

Apple a mis en place des améliorations de sécurité pour neutraliser les vulnérabilités de type "zero-day" ...

« Risques invisibles : Comment la clé volée de Microsoft pourrait débloquer plus de choses que prévu »

Le vol présumé d'une clé de sécurité de Microsoft pourrait avoir permis à des espions liés à Pékin de violer bien ...

Test DNS Secure : Sécurisez votre voyage en ligne

Welcome to the fast-paced digital era, where cybersecurity is not just a buzzword but a critical aspect of our ...
0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *