Vivern d’hiver : “La dernière cyber-menace ciblant les gouvernements européens

Reading Time: ( Word Count: )

April 1, 2023
Nextdoorsec-course

Winter Vivern, un acteur de menaces persistantes avancées (APT), a étendu sa campagne de cyberespionnage en ciblant des fonctionnaires en Europe et aux États-Unis. Cette campagne consiste à exploiter une vulnérabilité Zimbra non corrigée dans les portails de messagerie Web publics, ce qui permet au groupe d’accéder aux boîtes aux lettres électroniques d’entités gouvernementales en Europe.

Proofpoint, une société spécialisée dans la sécurité des entreprises, suit cette activité sous le nom de TA473 (UAC-0114). L’entreprise décrit le TA473 comme étant un équipage hostile dont les opérations s’alignent sur les objectifs géopolitiques de la Russie et de la Biélorussie.

Malgré son manque de sophistication, le groupe a été associé à des attaques récentes visant les autorités de l’Ukraine et de la Pologne, des fonctionnaires en Inde, en Lituanie, en Slovaquie et même au Vatican.

Le groupe utilise des outils d’analyse tels qu’Acunetix pour trouver des portails de messagerie web non corrigés appartenant aux entreprises ciblées. Ils envoient ensuite des courriels d’hameçonnage sous l’apparence d’agences gouvernementales bienveillantes, avec des messages contenant des URL piégés.

Lire aussi : “Le logiciel malveillant MacStealer frappe : les données du trousseau iCloud et les mots de passe des utilisateurs d’Apple sont en danger”.

Viverne d'hiver

Ces URL manipulent l’erreur de script intersite (XSS) dans Zimbra pour gérer des charges utiles JavaScript personnalisées codées en Base64 dans les portails de messagerie web des victimes, ce qui permet au groupe d’exfiltrer des noms d’utilisateur, des mots de passe et des jetons d’accès.

Chaque charge utile JavaScript est surveillée jusqu’au portail webmail ciblé, ce qui indique que le groupe est prêt à investir du temps et des ressources pour réduire les possibilités de détection. Selon Proofpoint, l’approche persistante de TA473 en matière d’analyse des vulnérabilités et d’exploitation des failles non corrigées est un facteur clé de son succès.

Ces résultats coïncident avec les révélations selon lesquelles au moins trois agences de renseignement russes (FSB, GRU et SVR) utilisent des logiciels et des outils de piratage conçus par un sous-traitant informatique basé à Moscou et appelé NTC Vulkan.

Il s’agit notamment de cadres tels que Scan, Amesit et Krystal-2B, qui simulent des attaques IO/OT coordonnées contre les systèmes de contrôle des chemins de fer et des oléoducs.

Mandiant, une société spécialisée dans le renseignement sur les menaces, note que les projets sous contrat de NTC Vulkan donnent un aperçu de l’investissement des services de renseignement russes dans l’invention de capacités permettant de déployer des fonctions plus efficaces au début du cycle de vie de l’attaque, une partie des procédures souvent dissimulée.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
How Often Should Penetration Testing Be Done

How Often Should Penetration Testing Be Done

Penetration testing is a crucial technique that involves simulating a cyberattack on networks, computer systems, ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *