يستهدف ممثل التهديد المستمر المتقدم (APT) المعروف باسم Winter Vivern الآن المسؤولين في أوروبا والولايات المتحدة كجزء من حملة تجسس إلكتروني مستمرة.
قال Proofpoint في تقرير جديد: "لقد استفاد TA473 منذ فبراير 2023 على الأقل من ثغرة أمنية غير مسبوقة في Zimbra في بوابات بريد الويب المواجهة علنًا والتي تتيح لهم الوصول إلى صناديق البريد الإلكتروني الخاصة بالكيانات الحكومية في أوروبا" .
تقوم شركة أمن المؤسسة بتتبع النشاط تحت اسم TA473 الخاص بها (المعروف أيضًا باسم UAC-0114) ، واصفة إياه بأنه فريق معادٍ تتماشى عملياته مع عمليات الأهداف الجيوسياسية الروسية والبيلاروسية.
ما يفتقر إليه من التطور ، يعوضه بالمثابرة. في الأشهر الأخيرة ، تم ربط المجموعة بهجمات استهدفت سلطات الدولة في أوكرانيا وبولندا وكذلك مسؤولين حكوميين في الهند وليتوانيا وسلوفاكيا والفاتيكان .
تستلزم موجة التطفل المتعلقة بحلف الناتو استغلال CVE-2022-27926 (درجة CVSS: 6.1) ، وهو عيب أمني متوسط الخطورة مصحح الآن في Zimbra Collaboration والذي يمكن أن يُمكِّن المهاجمين غير المصادقين من تنفيذ جافا سكريبت أو كود HTML تعسفي.
يتضمن هذا أيضًا استخدام أدوات مسح ضوئي مثل Acunetix لتحديد بوابات بريد الويب غير المصححة التي تنتمي إلى المنظمات المستهدفة بهدف إرسال بريد إلكتروني للتصيد الاحتيالي تحت ستار الوكالات الحكومية الحميدة.
تأتي الرسائل مع عناوين URL مفخخة تستغل عيب البرمجة النصية عبر المواقع (XSS) في Zimbra لتنفيذ حمولات JavaScript مخصصة بترميز Base64 داخل بوابات بريد الويب الخاصة بالضحايا لاستخراج أسماء المستخدمين وكلمات المرور ورموز الوصول.
تجدر الإشارة إلى أن كل حمولة جافا سكريبت مصممة خصيصًا لبوابة بريد الويب المستهدفة ، مما يشير إلى أن الفاعل المهدد مستعد لاستثمار الوقت والموارد لتقليل احتمالية الكشف.
"نهج TA473 المستمر لفحص نقاط الضعف واستغلال نقاط الضعف غير المصححة التي تؤثر على بوابات بريد الويب التي تواجه الجمهور هو عامل رئيسي في نجاح هذا الممثل" ، قال Proofpoint.
"إن تركيز المجموعة على الاستطلاع المستمر والدراسة المضنية لبوابات بريد الويب المكشوفة للجمهور لعكس هندسة JavaScript القادرة على سرقة أسماء المستخدمين وكلمات المرور ورموز CSRF يوضح استثمارها في اختراق أهداف محددة."
تأتي هذه النتائج وسط الكشف عن أن ثلاث وكالات استخبارات روسية على الأقل ، بما في ذلك FSB و GRU (المرتبطة بـ Sandworm ) و SVR (المرتبطة بـ APT29 ) ، من المحتمل أن تستخدم برامج وأدوات قرصنة طورها مقاول تكنولوجيا المعلومات في موسكو يدعى NTC Vulkan.
يتضمن ذلك أطر عمل مثل Scan (لتسهيل جمع البيانات على نطاق واسع) ، و Amesit (لإجراء عمليات المعلومات والتلاعب بالرأي العام) ، و Krystal-2B (لمحاكاة هجمات IO / OT المنسقة ضد أنظمة التحكم في السكك الحديدية وخطوط الأنابيب).
قال مانديانت المملوك لشركة Google: "Krystal-2B عبارة عن منصة تدريب تحاكي هجمات OT ضد أنواع مختلفة من بيئات OT بالتنسيق مع بعض مكونات IO من خلال الاستفادة من Amesit لغرض التعطيل" .
وقالت شركة استخبارات التهديدات: "توفر المشاريع المتعاقد عليها من NTC Vulkan نظرة ثاقبة حول استثمار أجهزة الاستخبارات الروسية في تطوير القدرات لنشر عمليات أكثر كفاءة في بداية دورة حياة الهجوم ، وهي جزء من العمليات غالبًا ما تكون مخفية عن رؤيتنا".