Winter Vivern: “De nieuwste cyberdreiging gericht tegen Europese overheden”

Reading Time: ( Word Count: )

April 1, 2023
Nextdoorsec-course

Winter Vivern, een APT-actor (advanced persistent threat), heeft zijn cyberspionagecampagne uitgebreid door zich te richten op functionarissen in Europa en de VS. Deze campagne maakt gebruik van een niet-gepatcht Zimbra-lek in webmailportalen voor het publiek, waardoor de groep toegang krijgt tot de e-mailpostvakken van overheidsinstanties in Europa.

Proofpoint, een beveiligingsbedrijf voor ondernemingen, volgt de activiteit onder de naam TA473 (UAC-0114). Het bedrijf beschrijft TA473 als een vijandige bemanning waarvan de operaties aansluiten bij Russische en Wit-Russische geopolitieke doelstellingen.

Ondanks het gebrek aan raffinement is de groep in verband gebracht met recente aanvallen op overheidsinstanties van Oekraïne en Polen, overheidsfunctionarissen in India, Litouwen, Slowakije en zelfs het Vaticaan.

De groep gebruikt scantools zoals Acunetix om ongepatchte webmailportalen van gerichte bedrijven te vinden. Vervolgens sturen ze phishing-e-mails onder het mom van goedaardige overheidsinstanties, met berichten die geboobytrapte URL’s bevatten.

Lees ook: “MacStealer Malware slaat toe: iCloud Keychain-gegevens en wachtwoorden in gevaar voor Apple-gebruikers.”

Winter Vivern

Deze URL’s manipuleren de cross-site scripting (XSS) fout in Zimbra om aangepaste Base64-gecodeerde JavaScript payloads te beheren binnen de webmail portalen van de slachtoffers, waardoor de groep gebruikersnamen, wachtwoorden en toegangstokens kon exfiltreren.

Elke JavaScript payload wordt gecontroleerd naar het beoogde webmail portaal, wat aangeeft dat de groep bereid is tijd en middelen te investeren om de kans op detectie te verkleinen. Volgens Proofpoint is de aanhoudende aanpak van TA473 om kwetsbaarheden te scannen en niet-gepatchte kwetsbaarheden uit te buiten een belangrijke factor in het succes.

Deze bevindingen vallen samen met onthullingen dat ten minste drie Russische inlichtingendiensten (FSB, GRU en SVR) software en hackingtools gebruiken die zijn ontworpen door een in Moskou gevestigde IT-aannemer met de naam NTC Vulkan.

Dit omvat raamwerken zoals Scan, Amesit en Krystal-2B, die gecoördineerde IO/OT-aanvallen op besturingssystemen van spoorwegen en pijpleidingen simuleren.

Mandiant, een dreigingsinformatiebedrijf, merkt op dat gecontracteerde projecten van NTC Vulkan inzicht geven in de investering van Russische inlichtingendiensten in het uitvinden van mogelijkheden om efficiëntere functies in te zetten in het begin van de aanvalslevenscyclus, een deel van de procedures dat vaak aan het zicht wordt onttrokken.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Top Security Practices to Protect Your Data in Cloud Services

Top Security Practices to Protect Your Data in Cloud Services

Cloud services make storing and accessing your data simple and flexible, but they also bring new security ...
Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Small law firms often juggle multiple responsibilities with limited resources, making efficiency a top priority. ...
Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *