Les acteurs menaçants opérant avec des intérêts alignés sur la Biélorussie et la Russie ont été associés à une nouvelle campagne de cyberespionnage qui a probablement exploité les vulnérabilités de script intersite (XSS) des serveurs de messagerie Web Roundcube pour cibler plus de 80 organisations.
Ces entités sont principalement situées en Géorgie, en Pologne et en Ukraine, selon Recorded Future, qui a attribué l’intrusion à un acteur menaçant connu sous le nom de Winter Vivern, également connu sous les noms de TA473 et UAC0114. La société de cybersécurité est suivi le groupe de piratage informatique sous le surnom de Threat Activity Group 70 (TAG-70).
L’exploitation par Winter Vivern des failles de sécurité dans Roundcube et ses logiciels avait déjà été soulignée par ESET en octobre 2023, rejoignant d’autres groupes d’acteurs menaçants liés à la Russie, tels que APT28, APT29 et Sandworm, connus pour cibler les logiciels de messagerie.
L’adversaire, actif depuis au moins décembre 2020, a également été lié à l’exploitation abusive d’une vulnérabilité désormais corrigée dans le logiciel de messagerie Zimbra Collaboration l’année dernière pour infiltrer des organisations en Moldavie et en Tunisie en juillet 2023.
La campagne découverte par Recorded Future s’est déroulée début octobre 2023 et s’est poursuivie jusqu’au milieu du mois dans le but de collecter des renseignements sur les activités politiques et militaires européennes. Ces attaques se chevauchent avec des activités supplémentaires du TAG-70 contre les serveurs de messagerie du gouvernement ouzbek qui ont été détectées en mars 2023.
« TAG70 a démontré un haut niveau de sophistication dans ses méthodes d’attaque », a déclaré la société. « Les auteurs de la menace ont exploité des techniques d’ingénierie sociale et exploité les vulnérabilités des serveurs de messagerie Web Roundcube pour obtenir un accès non autorisé aux serveurs de messagerie ciblés, contournant ainsi les défenses des organisations gouvernementales et militaires. »
Les chaînes d’attaque impliquent l’exploitation des failles de Roundcube pour fournir des charges utiles JavaScript conçues pour exfiltrer les informations d’identification des utilisateurs vers un serveur de commande et de contrôle (C2).
Recorded Future a déclaré avoir également trouvé des preuves que le TAG-70 ciblait les ambassades iraniennes en Russie et aux Pays-Bas, ainsi que l’ambassade géorgienne en Suède.
« Le ciblage des ambassades iraniennes en Russie et aux Pays-Bas suggère un intérêt géopolitique plus large dans l’évaluation des activités diplomatiques de l’Iran, notamment en ce qui concerne son soutien à la Russie en Ukraine », a-t-il déclaré.
« De même, l’espionnage contre les entités gouvernementales géorgiennes reflète l’intérêt de surveiller les aspirations de la Géorgie à l’Union européenne (UE) et à l’adhésion à l’OTAN. »