Winter Vivern атакует европейские госструктуры через уязвимость в Zimbra

Группировка кибершпионажа Winter Vivern развернула новую кампанию против чиновников в Европе и США, используя непропатченную уязвимость в почтовой платформе Zimbra Collaboration. Об этом сообщила компания Proofpoint в свежем отчёте.

По данным Proofpoint, с февраля 2023 года актор, которого компания отслеживает под собственным именем TA473 (также известен как UAC-0114), непрерывно эксплуатирует незакрытую уязвимость в публично доступных веб-порталах Zimbra, чтобы получать доступ к почтовым ящикам государственных ведомств в Европе. Исследователи описывают группировку как команду, чьи операции соответствуют геополитическим интересам России и Белоруссии.

Не сложность, а упорство

Winter Vivern нельзя назвать технически изощрённой группой — её сила в настойчивости. В последние месяцы актор был связан с атаками на государственные органы Украины и Польши, а также на чиновников Индии, Литвы, Словакии и Ватикана.

Волна атак, связанная с темой НАТО, строится на эксплуатации уязвимости CVE-2022-27926 (оценка CVSS 6.1) — уже исправленной, но всё ещё встречающейся у неопытных администраторов уязвимости средней степени опасности в Zimbra Collaboration, позволяющей неаутентифицированным злоумышленникам выполнять произвольный JavaScript- или HTML-код.

Как работает атака

Для поиска непропатченных почтовых порталов у целевых организаций злоумышленники используют сканеры вроде Acunetix. После этого от имени якобы благонадёжных государственных ведомств рассылаются фишинговые письма со ссылками-ловушками.

Эти ссылки эксплуатируют межсайтовый скриптинг (XSS) в Zimbra и запускают закодированный в Base64 JavaScript-код прямо в веб-портале жертвы — с целью похитить логины, пароли и токены доступа.

Примечательно, что каждый JavaScript-payload создаётся индивидуально под конкретный почтовый портал: это говорит о том, что группировка готова тратить время и ресурсы, лишь бы снизить вероятность обнаружения.

«Настойчивый подход TA473 к сканированию уязвимостей и эксплуатации непропатченных дыр в публичных почтовых порталах — ключевой фактор успеха этого актора, — отмечают в Proofpoint. — Фокус группы на постоянной разведке и кропотливом изучении открытых веб-порталов ради реверс-инжиниринга JavaScript, способного красть логины, пароли и CSRF-токены, показывает, насколько серьёзно она вкладывается в компрометацию конкретных целей».

Связь с российскими спецслужбами и NTC Vulkan

Отчёт вышел на фоне более ранних разоблачений: как минимум три российские спецслужбы — ФСБ, ГРУ (связано с группировкой Sandworm) и СВР (связано с APT29) — предположительно используют программное обеспечение и хакерский инструментарий, разработанный московским IT-подрядчиком NTC Vulkan.

Речь идёт о таких фреймворках, как Scan (картирование сетей противника и крупномасштабный сбор данных), Amesit (информационные операции и манипулирование общественным мнением) и Krystal-2B (моделирование скоординированных атак на IT- и OT-инфраструктуру железнодорожных и трубопроводных систем управления).

«Krystal-2B — это обучающая платформа, которая моделирует атаки на разные типы OT-сред в связке с некоторыми компонентами Amesit, используемыми "в целях нарушения работы"», — сообщили в принадлежащей Google компании Mandiant.

«Проекты, реализуемые NTC Vulkan по контракту, дают представление о том, сколько российские спецслужбы вкладывают в развитие возможностей для более эффективных операций на начальном этапе жизненного цикла атаки — этап, который зачастую скрыт от нашего взгляда», — добавили в компании.

Французская компания по кибербезопасности SEKOIA.IO в собственном анализе этого инструментария охарактеризовала Amesit как «информационную систему», предназначенную для создания, распространения и усиления информации по множеству каналов — SMS, соцсети, блоги, форумы. Платформа также умеет перехватывать, блокировать и изменять коммуникации, проходящие через телекоммуникационное оборудование вроде коммутаторов и маршрутизаторов, и даже перенаправлять абонентов провайдера на конкретные сайты.

«Amesit — это иллюстрация российской доктрины информационной войны, концепции, которая ищет стратегическое преимущество через сочетание наступательных кибероопераций, радиоэлектронной борьбы, психологических и информационных операций», — заключили в SEKOIA.IO.

Источник: The Hacker News.