Winter Vivern: “De nieuwste cyberdreiging gericht tegen Europese overheden”

Reading Time: ( Word Count: )

april 1, 2023
Nextdoorsec-course

Winter Vivern, een APT-actor (advanced persistent threat), heeft zijn cyberspionagecampagne uitgebreid door zich te richten op functionarissen in Europa en de VS. Deze campagne maakt gebruik van een niet-gepatcht Zimbra-lek in webmailportalen voor het publiek, waardoor de groep toegang krijgt tot de e-mailpostvakken van overheidsinstanties in Europa.

Proofpoint, een beveiligingsbedrijf voor ondernemingen, volgt de activiteit onder de naam TA473 (UAC-0114). Het bedrijf beschrijft TA473 als een vijandige bemanning waarvan de operaties aansluiten bij Russische en Wit-Russische geopolitieke doelstellingen.

Ondanks het gebrek aan raffinement is de groep in verband gebracht met recente aanvallen op overheidsinstanties van Oekraïne en Polen, overheidsfunctionarissen in India, Litouwen, Slowakije en zelfs het Vaticaan.

De groep gebruikt scantools zoals Acunetix om ongepatchte webmailportalen van gerichte bedrijven te vinden. Vervolgens sturen ze phishing-e-mails onder het mom van goedaardige overheidsinstanties, met berichten die geboobytrapte URL’s bevatten.

Lees ook: “MacStealer Malware slaat toe: iCloud Keychain-gegevens en wachtwoorden in gevaar voor Apple-gebruikers.”

Winter Vivern

Deze URL’s manipuleren de cross-site scripting (XSS) fout in Zimbra om aangepaste Base64-gecodeerde JavaScript payloads te beheren binnen de webmail portalen van de slachtoffers, waardoor de groep gebruikersnamen, wachtwoorden en toegangstokens kon exfiltreren.

Elke JavaScript payload wordt gecontroleerd naar het beoogde webmail portaal, wat aangeeft dat de groep bereid is tijd en middelen te investeren om de kans op detectie te verkleinen. Volgens Proofpoint is de aanhoudende aanpak van TA473 om kwetsbaarheden te scannen en niet-gepatchte kwetsbaarheden uit te buiten een belangrijke factor in het succes.

Deze bevindingen vallen samen met onthullingen dat ten minste drie Russische inlichtingendiensten (FSB, GRU en SVR) software en hackingtools gebruiken die zijn ontworpen door een in Moskou gevestigde IT-aannemer met de naam NTC Vulkan.

Dit omvat raamwerken zoals Scan, Amesit en Krystal-2B, die gecoördineerde IO/OT-aanvallen op besturingssystemen van spoorwegen en pijpleidingen simuleren.

Mandiant, een dreigingsinformatiebedrijf, merkt op dat gecontracteerde projecten van NTC Vulkan inzicht geven in de investering van Russische inlichtingendiensten in het uitvinden van mogelijkheden om efficiëntere functies in te zetten in het begin van de aanvalslevenscyclus, een deel van de procedures dat vaak aan het zicht wordt onttrokken.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

“Apple neutraliseert misbruikte kwetsbaarheden: Een uitgebreide update”

Apple heeft beveiligingsverbeteringen geïntroduceerd om 'zero-day'-kwetsbaarheden te neutraliseren die zijn ...

“De AI-prestaties van ChatGPT: Verder dan de Turingtest of nog niet helemaal?”

ChatGPT, een kunstmatige intelligentie chatbot van OpenAI, heeft door zijn buitengewone capaciteiten veel stof ...

“Verliest Threads zijn draad? De Twitter rivaal van Instagram nader bekeken”.

Een artikel van de Wall Street Journal van vrijdag waarschuwde dat Instagram's nieuwe concurrent voor Twitter, ...

“VirusTotal’s datalek: Menselijke fout of systeemfout?”

Vrijdag betuigde VirusTotal spijt over het onopzettelijk blootstellen van de gegevens van meer dan 5.600 klanten ...
0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *