Winter Vivern, een APT-actor (advanced persistent threat), heeft zijn cyberspionagecampagne uitgebreid door zich te richten op functionarissen in Europa en de VS. Deze campagne maakt gebruik van een niet-gepatcht Zimbra-lek in webmailportalen voor het publiek, waardoor de groep toegang krijgt tot de e-mailpostvakken van overheidsinstanties in Europa.
Proofpoint, een beveiligingsbedrijf voor ondernemingen, volgt de activiteit onder de naam TA473 (UAC-0114). Het bedrijf beschrijft TA473 als een vijandige bemanning waarvan de operaties aansluiten bij Russische en Wit-Russische geopolitieke doelstellingen.
Ondanks het gebrek aan raffinement is de groep in verband gebracht met recente aanvallen op overheidsinstanties van Oekraïne en Polen, overheidsfunctionarissen in India, Litouwen, Slowakije en zelfs het Vaticaan.
De groep gebruikt scantools zoals Acunetix om ongepatchte webmailportalen van gerichte bedrijven te vinden. Vervolgens sturen ze phishing-e-mails onder het mom van goedaardige overheidsinstanties, met berichten die geboobytrapte URL’s bevatten.
Deze URL’s manipuleren de cross-site scripting (XSS) fout in Zimbra om aangepaste Base64-gecodeerde JavaScript payloads te beheren binnen de webmail portalen van de slachtoffers, waardoor de groep gebruikersnamen, wachtwoorden en toegangstokens kon exfiltreren.
Elke JavaScript payload wordt gecontroleerd naar het beoogde webmail portaal, wat aangeeft dat de groep bereid is tijd en middelen te investeren om de kans op detectie te verkleinen. Volgens Proofpoint is de aanhoudende aanpak van TA473 om kwetsbaarheden te scannen en niet-gepatchte kwetsbaarheden uit te buiten een belangrijke factor in het succes.
Deze bevindingen vallen samen met onthullingen dat ten minste drie Russische inlichtingendiensten (FSB, GRU en SVR) software en hackingtools gebruiken die zijn ontworpen door een in Moskou gevestigde IT-aannemer met de naam NTC Vulkan.
Dit omvat raamwerken zoals Scan, Amesit en Krystal-2B, die gecoördineerde IO/OT-aanvallen op besturingssystemen van spoorwegen en pijpleidingen simuleren.
Mandiant, een dreigingsinformatiebedrijf, merkt op dat gecontracteerde projecten van NTC Vulkan inzicht geven in de investering van Russische inlichtingendiensten in het uitvinden van mogelijkheden om efficiëntere functies in te zetten in het begin van de aanvalslevenscyclus, een deel van de procedures dat vaak aan het zicht wordt onttrokken.
0 Comments