Belarus ve Rusya ile uyumlu çıkarlarla faaliyet gösteren tehdit aktörleri, Roundcube web posta sunucularındaki siteler arası komut dosyası çalıştırma (XSS) güvenlik açıklarından yararlanarak 80’den fazla kuruluşu hedef alan yeni bir siber casusluk kampanyasıyla ilişkilendirildi.
Recorded Future’a göre bu varlıklar öncelikle Gürcistan, Polonya ve Ukrayna’da bulunuyor ve bu saldırı, TA473 ve UAC0114 olarak da bilinen Winter Vivern olarak bilinen bir tehdit aktörüne atfediliyor. Siber güvenlik firması izleme Tehdit Faaliyet Grubu 70 (TAG-70) adı altındaki bilgisayar korsanlığı ekibi.
Winter Vivern’in Roundcube ve yazılımdaki güvenlik açıklarından yararlandığı daha önce Ekim 2023’te ESET tarafından vurgulanmış ve e-posta yazılımlarını hedef aldığı bilinen APT28, APT29 ve Sandworm gibi Rusya bağlantılı diğer tehdit aktörü gruplarına katılmıştı.
En azından Aralık 2020’den bu yana aktif olan saldırganın, Temmuz 2023’te Moldova ve Tunus’taki kuruluşlara sızmak için geçen yıl Zimbra Collaboration e-posta yazılımında yamalanmış bir güvenlik açığının kötüye kullanılmasıyla da bağlantısı olduğu düşünülüyor.
Recorded Future tarafından keşfedilen kampanya, Avrupa’nın siyasi ve askeri faaliyetleri hakkında istihbarat toplamak amacıyla Ekim 2023’ün başından itibaren gerçekleşti ve ay ortasına kadar devam etti. Saldırılar, Mart 2023’te Özbekistan hükümetinin posta sunucularına yönelik tespit edilen ek TAG-70 etkinliğiyle örtüşüyor.
Şirket, “TAG70, saldırı yöntemlerinde yüksek düzeyde gelişmişlik sergiledi” dedi. “Tehdit aktörleri, sosyal mühendislik tekniklerinden yararlandı ve hedeflenen posta sunucularına yetkisiz erişim elde etmek için Roundcube web posta sunucularındaki siteler arası komut dosyası oluşturma güvenlik açıklarından yararlanarak hükümet ve askeri kuruluşların savunmasını aştı.”
Saldırı zincirleri, kullanıcı kimlik bilgilerini bir komut ve kontrol (C2) sunucusuna sızdırmak üzere tasarlanmış JavaScript yüklerini sağlamak için Roundcube kusurlarından yararlanmayı içerir.
Recorded Future ayrıca TAG-70’in Rusya ve Hollanda’daki İran büyükelçiliklerinin yanı sıra İsveç’teki Gürcistan Büyükelçiliğini de hedef aldığına dair kanıtlar bulduğunu söyledi.
Açıklamada, “İran’ın Rusya ve Hollanda’daki büyükelçiliklerinin hedef alınması, İran’ın diplomatik faaliyetlerinin, özellikle de Ukrayna’da Rusya’ya verdiği desteğin değerlendirilmesinde daha geniş bir jeopolitik çıkara işaret ediyor” denildi.
“Benzer şekilde, Gürcistan hükümet birimlerine yönelik casusluk, Gürcistan’ın Avrupa Birliği (AB) ve NATO’ya katılım isteklerinin izlenmesine yönelik çıkarları yansıtıyor.”
