Группировка кибершпионажа Winter Vivern развернула новую кампанию против чиновников в Европе и США, используя непропатченную уязвимость в почтовой платформе Zimbra Collaboration. Об этом сообщила компания Proofpoint в свежем отчёте.
По данным Proofpoint, с февраля 2023 года актор, которого компания отслеживает под собственным именем TA473 (также известен как UAC-0114), непрерывно эксплуатирует незакрытую уязвимость в публично доступных веб-порталах Zimbra, чтобы получать доступ к почтовым ящикам государственных ведомств в Европе. Исследователи описывают группировку как команду, чьи операции соответствуют геополитическим интересам России и Белоруссии.
Не сложность, а упорство
Winter Vivern нельзя назвать технически изощрённой группой — её сила в настойчивости. В последние месяцы актор был связан с атаками на государственные органы Украины и Польши, а также на чиновников Индии, Литвы, Словакии и Ватикана.
Волна атак, связанная с темой НАТО, строится на эксплуатации уязвимости CVE-2022-27926 (оценка CVSS 6.1) — уже исправленной, но всё ещё встречающейся у неопытных администраторов уязвимости средней степени опасности в Zimbra Collaboration, позволяющей неаутентифицированным злоумышленникам выполнять произвольный JavaScript- или HTML-код.
Как работает атака
Для поиска непропатченных почтовых порталов у целевых организаций злоумышленники используют сканеры вроде Acunetix. После этого от имени якобы благонадёжных государственных ведомств рассылаются фишинговые письма со ссылками-ловушками.
Эти ссылки эксплуатируют межсайтовый скриптинг (XSS) в Zimbra и запускают закодированный в Base64 JavaScript-код прямо в веб-портале жертвы — с целью похитить логины, пароли и токены доступа.
Примечательно, что каждый JavaScript-payload создаётся индивидуально под конкретный почтовый портал: это говорит о том, что группировка готова тратить время и ресурсы, лишь бы снизить вероятность обнаружения.
«Настойчивый подход TA473 к сканированию уязвимостей и эксплуатации непропатченных дыр в публичных почтовых порталах — ключевой фактор успеха этого актора, — отмечают в Proofpoint. — Фокус группы на постоянной разведке и кропотливом изучении открытых веб-порталов ради реверс-инжиниринга JavaScript, способного красть логины, пароли и CSRF-токены, показывает, насколько серьёзно она вкладывается в компрометацию конкретных целей».
Связь с российскими спецслужбами и NTC Vulkan
Отчёт вышел на фоне более ранних разоблачений: как минимум три российские спецслужбы — ФСБ, ГРУ (связано с группировкой Sandworm) и СВР (связано с APT29) — предположительно используют программное обеспечение и хакерский инструментарий, разработанный московским IT-подрядчиком NTC Vulkan.
Речь идёт о таких фреймворках, как Scan (картирование сетей противника и крупномасштабный сбор данных), Amesit (информационные операции и манипулирование общественным мнением) и Krystal-2B (моделирование скоординированных атак на IT- и OT-инфраструктуру железнодорожных и трубопроводных систем управления).
«Krystal-2B — это обучающая платформа, которая моделирует атаки на разные типы OT-сред в связке с некоторыми компонентами Amesit, используемыми "в целях нарушения работы"», — сообщили в принадлежащей Google компании Mandiant.
«Проекты, реализуемые NTC Vulkan по контракту, дают представление о том, сколько российские спецслужбы вкладывают в развитие возможностей для более эффективных операций на начальном этапе жизненного цикла атаки — этап, который зачастую скрыт от нашего взгляда», — добавили в компании.
Французская компания по кибербезопасности SEKOIA.IO в собственном анализе этого инструментария охарактеризовала Amesit как «информационную систему», предназначенную для создания, распространения и усиления информации по множеству каналов — SMS, соцсети, блоги, форумы. Платформа также умеет перехватывать, блокировать и изменять коммуникации, проходящие через телекоммуникационное оборудование вроде коммутаторов и маршрутизаторов, и даже перенаправлять абонентов провайдера на конкретные сайты.
«Amesit — это иллюстрация российской доктрины информационной войны, концепции, которая ищет стратегическое преимущество через сочетание наступательных кибероопераций, радиоэлектронной борьбы, психологических и информационных операций», — заключили в SEKOIA.IO.
Источник: The Hacker News.