Los actores de amenazas que operan con intereses alineados con Bielorrusia y Rusia han sido vinculados a una nueva campa\u00f1a de ciberespionaje que probablemente aprovech\u00f3 las vulnerabilidades de secuencias de comandos entre sitios (XSS) en los servidores de correo web de Roundcube para apuntar a m\u00e1s de 80 organizaciones.<\/p>\n
Estas entidades est\u00e1n ubicadas principalmente en Georgia, Polonia y Ucrania, seg\u00fan Recorded Future, que atribuy\u00f3 la intrusi\u00f3n a un actor de amenazas conocido como Winter Vivern, que tambi\u00e9n se conoce como TA473 y UAC0114. La empresa de ciberseguridad es seguimiento<\/a> el equipo de pirater\u00eda bajo el nombre de Threat Activity Group 70 (TAG-70).<\/p>\n ESET destac\u00f3 previamente la explotaci\u00f3n de fallas de seguridad en Roundcube y el software por parte de Winter Vivern en octubre de 2023, uni\u00e9ndose a otros grupos de actores de amenazas vinculados a Rusia, como APT28, APT29 y Sandworm, que se sabe que atacan el software de correo electr\u00f3nico.<\/p>\n El adversario, que ha estado activo desde al menos diciembre de 2020, tambi\u00e9n ha sido vinculado al abuso de una vulnerabilidad ahora parcheada en el software de correo electr\u00f3nico Zimbra Collaboration el a\u00f1o pasado para infiltrarse en organizaciones en Moldavia y T\u00fanez en julio de 2023.<\/p>\n La campa\u00f1a descubierta por Recorded Future se llev\u00f3 a cabo desde principios de octubre de 2023 y continu\u00f3 hasta mediados de mes con el objetivo de recopilar inteligencia sobre las actividades pol\u00edticas y militares europeas. Los ataques se superponen con actividad adicional de TAG-70 contra servidores de correo del gobierno de Uzbekist\u00e1n que se detectaron en marzo de 2023.<\/p>\n “TAG70 ha demostrado un alto nivel de sofisticaci\u00f3n en sus m\u00e9todos de ataque”, afirm\u00f3 la empresa. “Los actores de amenazas aprovecharon t\u00e9cnicas de ingenier\u00eda social y explotaron vulnerabilidades de secuencias de comandos entre sitios en los servidores de correo web de Roundcube para obtener acceso no autorizado a servidores de correo espec\u00edficos, evitando las defensas de las organizaciones gubernamentales y militares”.<\/p>\n Las cadenas de ataque implican la explotaci\u00f3n de fallas de Roundcube para entregar cargas \u00fatiles de JavaScript dise\u00f1adas para filtrar las credenciales del usuario a un servidor de comando y control (C2).<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Los-piratas-informaticos-vinculados-a-Rusia-violan-mas-de-80.jpg\")
<\/a><\/center><\/div>\n