Winter Vivern: “De nieuwste cyberdreiging gericht tegen Europese overheden”

Reading Time: ( Word Count: )

april 1, 2023
Nextdoorsec-course

Winter Vivern, een APT-actor (advanced persistent threat), heeft zijn cyberspionagecampagne uitgebreid door zich te richten op functionarissen in Europa en de VS. Deze campagne maakt gebruik van een niet-gepatcht Zimbra-lek in webmailportalen voor het publiek, waardoor de groep toegang krijgt tot de e-mailpostvakken van overheidsinstanties in Europa.

Proofpoint, een beveiligingsbedrijf voor ondernemingen, volgt de activiteit onder de naam TA473 (UAC-0114). Het bedrijf beschrijft TA473 als een vijandige bemanning waarvan de operaties aansluiten bij Russische en Wit-Russische geopolitieke doelstellingen.

Ondanks het gebrek aan raffinement is de groep in verband gebracht met recente aanvallen op overheidsinstanties van Oekraïne en Polen, overheidsfunctionarissen in India, Litouwen, Slowakije en zelfs het Vaticaan.

De groep gebruikt scantools zoals Acunetix om ongepatchte webmailportalen van gerichte bedrijven te vinden. Vervolgens sturen ze phishing-e-mails onder het mom van goedaardige overheidsinstanties, met berichten die geboobytrapte URL’s bevatten.

Lees ook: “MacStealer Malware slaat toe: iCloud Keychain-gegevens en wachtwoorden in gevaar voor Apple-gebruikers.”

Winter Vivern

Deze URL’s manipuleren de cross-site scripting (XSS) fout in Zimbra om aangepaste Base64-gecodeerde JavaScript payloads te beheren binnen de webmail portalen van de slachtoffers, waardoor de groep gebruikersnamen, wachtwoorden en toegangstokens kon exfiltreren.

Elke JavaScript payload wordt gecontroleerd naar het beoogde webmail portaal, wat aangeeft dat de groep bereid is tijd en middelen te investeren om de kans op detectie te verkleinen. Volgens Proofpoint is de aanhoudende aanpak van TA473 om kwetsbaarheden te scannen en niet-gepatchte kwetsbaarheden uit te buiten een belangrijke factor in het succes.

Deze bevindingen vallen samen met onthullingen dat ten minste drie Russische inlichtingendiensten (FSB, GRU en SVR) software en hackingtools gebruiken die zijn ontworpen door een in Moskou gevestigde IT-aannemer met de naam NTC Vulkan.

Dit omvat raamwerken zoals Scan, Amesit en Krystal-2B, die gecoördineerde IO/OT-aanvallen op besturingssystemen van spoorwegen en pijpleidingen simuleren.

Mandiant, een dreigingsinformatiebedrijf, merkt op dat gecontracteerde projecten van NTC Vulkan inzicht geven in de investering van Russische inlichtingendiensten in het uitvinden van mogelijkheden om efficiëntere functies in te zetten in het begin van de aanvalslevenscyclus, een deel van de procedures dat vaak aan het zicht wordt onttrokken.

Saher

Saher

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

De populariteit van Esports en de trends

Esports, de wereld van competitieve videogames, is de afgelopen jaren populair geworden. Het boeit miljoenen ...

Online spellen waar je geld mee kunt winnen

In het digitale tijdperk is online gaming meer geworden dan alleen een bron van vermaak. Het is uitgegroeid tot ...

Netstat vs. Nmap vs. Netcat: De verschillen begrijpen

Op het gebied van netwerken en systeembeheer helpen verschillende tools professionals bij het analyseren en ...

Nmap vs. Nessus: een uitgebreide vergelijking

Wat betreft netwerkbeveiliging en het beoordelen van kwetsbaarheden, zijn twee populaire tools die vaak in je ...
0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *