El actor de amenazas persistentes avanzadas (APT) conocido como invierno viverno<\/b> ahora tiene como objetivo a funcionarios en Europa y EE. UU. como parte de una campa\u00f1a de espionaje cibern\u00e9tico en curso.<\/p>\n
“TA473 desde al menos febrero de 2023 ha aprovechado continuamente una vulnerabilidad de Zimbra sin parches en portales de correo web p\u00fablicos que les permite obtener acceso a los buzones de correo electr\u00f3nico de entidades gubernamentales en Europa”, Proofpoint dicho<\/a> en un nuevo informe.<\/p>\n La firma de seguridad empresarial est\u00e1 rastreando la actividad bajo su propio nombre. TA473<\/strong> (tambi\u00e9n conocido como UAC-0114), describi\u00e9ndolo como una tripulaci\u00f3n adversaria cuyas operaciones se alinean con las de los objetivos geopol\u00edticos rusos y bielorrusos.<\/p>\n Lo que le falta en sofisticaci\u00f3n, lo compensa con persistencia. En los \u00faltimos meses, el grupo se ha relacionado con ataques dirigidos a autoridades estatales de Ucrania y Polonia, as\u00ed como a funcionarios gubernamentales en India, Lituania, Eslovaquia y el Vaticano.<\/p>\n La ola de intrusiones relacionada con la OTAN implica la explotaci\u00f3n de CVE-2022-27926 (puntuaci\u00f3n CVSS: 6.1), una falla de seguridad de gravedad media ahora parcheada en Zimbra Collaboration que podr\u00eda permitir a atacantes no autenticados ejecutar c\u00f3digo JavaScript o HTML arbitrario.<\/p>\n Esto tambi\u00e9n implica el empleo de herramientas de escaneo como Acunetix para identificar portales de correo web sin parches que pertenecen a organizaciones espec\u00edficas con el objetivo de enviar correos electr\u00f3nicos de phishing bajo la apariencia de agencias gubernamentales benignas.<\/p>\n Los mensajes vienen con direcciones URL trampa que explotan la falla de secuencias de comandos entre sitios (XSS) en Zimbra para ejecutar cargas \u00fatiles de JavaScript codificadas en Base64 personalizadas dentro de los portales de correo web de las v\u00edctimas para filtrar nombres de usuario, contrase\u00f1as y tokens de acceso.<\/p>\n Vale la pena se\u00f1alar que cada carga \u00fatil de JavaScript se adapta al portal de correo web objetivo, lo que indica que el actor de amenazas est\u00e1 dispuesto a invertir tiempo y recursos para reducir la probabilidad de detecci\u00f3n.<\/p>\n “El enfoque persistente de TA473 para el escaneo de vulnerabilidades y la explotaci\u00f3n de vulnerabilidades sin parches que impactan en los portales de correo web de cara al p\u00fablico es un factor clave en el \u00e9xito de este actor”, dijo Proofpoint.<\/p>\n “El enfoque del grupo en el reconocimiento sostenido y el estudio minucioso de los portales de correo web expuestos p\u00fablicamente para realizar ingenier\u00eda inversa de JavaScript capaz de robar nombres de usuario, contrase\u00f1as y tokens CSRF demuestra su inversi\u00f3n en comprometer objetivos espec\u00edficos”.<\/p>\n Los hallazgos llegan en medio revelaciones<\/a> que al menos tres agencias de inteligencia rusas, incluidas FSB, GRU (vinculada a Sandworm) y SVR (vinculada a APT29), probablemente utilicen software y herramientas de pirater\u00eda desarrolladas por un contratista de TI con sede en Mosc\u00fa llamado NTC Vulkan.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n Esto incluye marcos como Scan (para facilitar la recopilaci\u00f3n de datos a gran escala), Amesit (para realizar operaciones de informaci\u00f3n y manipular la opini\u00f3n p\u00fablica) y Krystal-2B (para simular ataques coordinados de IO\/OT contra sistemas de control de rieles y tuber\u00edas).<\/p>\n “Krystal-2B es una plataforma de capacitaci\u00f3n que simula ataques de OT contra diferentes tipos de entornos de OT en coordinaci\u00f3n con algunos componentes de IO al aprovechar Amesit ‘con el prop\u00f3sito de interrumpir'”, Mandiant, propiedad de Google. dicho<\/a>.<\/p>\n “Los proyectos contratados de NTC Vulkan brindan informaci\u00f3n sobre la inversi\u00f3n de los servicios de inteligencia rusos en el desarrollo de capacidades para implementar operaciones m\u00e1s eficientes al comienzo del ciclo de vida del ataque, una parte de las operaciones que a menudo est\u00e1 oculta a nuestra vista”, agreg\u00f3 la firma de inteligencia de amenazas.<\/p>\n <\/p>\n