El actor de amenazas persistentes avanzadas (APT) conocido como invierno viverno ahora tiene como objetivo a funcionarios en Europa y EE. UU. como parte de una campaña de espionaje cibernético en curso.
«TA473 desde al menos febrero de 2023 ha aprovechado continuamente una vulnerabilidad de Zimbra sin parches en portales de correo web públicos que les permite obtener acceso a los buzones de correo electrónico de entidades gubernamentales en Europa», Proofpoint dicho en un nuevo informe.
La firma de seguridad empresarial está rastreando la actividad bajo su propio nombre. TA473 (también conocido como UAC-0114), describiéndolo como una tripulación adversaria cuyas operaciones se alinean con las de los objetivos geopolíticos rusos y bielorrusos.
Lo que le falta en sofisticación, lo compensa con persistencia. En los últimos meses, el grupo se ha relacionado con ataques dirigidos a autoridades estatales de Ucrania y Polonia, así como a funcionarios gubernamentales en India, Lituania, Eslovaquia y el Vaticano.
La ola de intrusiones relacionada con la OTAN implica la explotación de CVE-2022-27926 (puntuación CVSS: 6.1), una falla de seguridad de gravedad media ahora parcheada en Zimbra Collaboration que podría permitir a atacantes no autenticados ejecutar código JavaScript o HTML arbitrario.
Esto también implica el empleo de herramientas de escaneo como Acunetix para identificar portales de correo web sin parches que pertenecen a organizaciones específicas con el objetivo de enviar correos electrónicos de phishing bajo la apariencia de agencias gubernamentales benignas.
Los mensajes vienen con direcciones URL trampa que explotan la falla de secuencias de comandos entre sitios (XSS) en Zimbra para ejecutar cargas útiles de JavaScript codificadas en Base64 personalizadas dentro de los portales de correo web de las víctimas para filtrar nombres de usuario, contraseñas y tokens de acceso.
Vale la pena señalar que cada carga útil de JavaScript se adapta al portal de correo web objetivo, lo que indica que el actor de amenazas está dispuesto a invertir tiempo y recursos para reducir la probabilidad de detección.
«El enfoque persistente de TA473 para el escaneo de vulnerabilidades y la explotación de vulnerabilidades sin parches que impactan en los portales de correo web de cara al público es un factor clave en el éxito de este actor», dijo Proofpoint.
«El enfoque del grupo en el reconocimiento sostenido y el estudio minucioso de los portales de correo web expuestos públicamente para realizar ingeniería inversa de JavaScript capaz de robar nombres de usuario, contraseñas y tokens CSRF demuestra su inversión en comprometer objetivos específicos».
Los hallazgos llegan en medio revelaciones que al menos tres agencias de inteligencia rusas, incluidas FSB, GRU (vinculada a Sandworm) y SVR (vinculada a APT29), probablemente utilicen software y herramientas de piratería desarrolladas por un contratista de TI con sede en Moscú llamado NTC Vulkan.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
Esto incluye marcos como Scan (para facilitar la recopilación de datos a gran escala), Amesit (para realizar operaciones de información y manipular la opinión pública) y Krystal-2B (para simular ataques coordinados de IO/OT contra sistemas de control de rieles y tuberías).
«Krystal-2B es una plataforma de capacitación que simula ataques de OT contra diferentes tipos de entornos de OT en coordinación con algunos componentes de IO al aprovechar Amesit ‘con el propósito de interrumpir'», Mandiant, propiedad de Google. dicho.
«Los proyectos contratados de NTC Vulkan brindan información sobre la inversión de los servicios de inteligencia rusos en el desarrollo de capacidades para implementar operaciones más eficientes al comienzo del ciclo de vida del ataque, una parte de las operaciones que a menudo está oculta a nuestra vista», agregó la firma de inteligencia de amenazas.