Από τον Φεβρουάριο του 2023, η ρωσική ομάδα hacking γνωστή ως TA473 – ή “Winter Vivern” – εκμεταλλεύεται unpatched endpoints του Zimbra για να αποσπάσει email από αξιωματούχους του ΝΑΤΟ, κυβερνητικό και στρατιωτικό προσωπικό και διπλωμάτες.
Δείτε επίσης: Το νέο toolkit AlienFox κλέβει credentials για 18 υπηρεσίες cloud
Πριν από δύο εβδομάδες, η Sentinel Labs αποκάλυψε μια κακόβουλη επιχείρηση του “Winter Vivern”, η οποία περιελάμβανε ιστότοπους που μιμούνταν ευρωπαϊκές υπηρεσίες που καταπολεμούν το έγκλημα στον κυβερνοχώρο. Τα παραπλανητικά sites είχαν σχεδιαστεί για τη διάδοση κακόβουλου λογισμικού μεταμφιεσμένου σε virus scanner.
Σε πρόσφατη έκθεσή της, η Proofpoint αποκάλυψε ότι κακόβουλοι φορείς εκμεταλλεύονται την ευπάθεια ασφαλείας CVE-2022-27926 στους Zimbra Collaboration servers για να αποκτήσουν πρόσβαση στις εμπιστευτικές επικοινωνίες των συμμάχων του ΝΑΤΟ και του προσωπικού τους.
Δείτε επίσης: Mélofée: Το τελευταίο malware που στοχεύει Linux servers
Στοχεύοντας την Zimbra
Οι κακόβουλοι φορείς Winter Vivern ξεκινούν τις επιθέσεις τους χρησιμοποιώντας τον σαρωτή ευπαθειών Acunetix για να ανιχνεύσει τυχόν πλατφόρμες unpatched webmail.
Στη συνέχεια, οι χάκερς διανέμουν ένα phishing email από μια διεύθυνση που έχει διεισδύσει και η οποία είναι μεταμφιεσμένη ώστε να μοιάζει με κάποιον οικείο ή σχετιζόμενο με τον οργανισμό του στόχου.
Τα email περιλαμβάνουν ένα link που εκμεταλλεύεται τη σοβαρότητα του CVE-2022-27926 σε μια αξιοποιημένη υποδομή Zimbra, επιτρέποντας το inject άλλων JavaScript payload στην ιστοσελίδα.
Αξιοποιώντας τα payload, οι απειλητικοί φορείς είναι σε θέση να εξάγουν ονόματα χρηστών, κωδικούς πρόσβασης και tokens από cookies που προέρχονται από ένα παραβιασμένο endpoint Zimbra. Αυτό τους επιτρέπει να αποκτήσουν απεριόριστη πρόσβαση στους λογαριασμούς ηλεκτρονικού ταχυδρομείου των στόχων τους με ευκολία.
Αυτό το συγκεκριμένο στοιχείο δείχνει τη σχολαστικότητα των κακόβουλων φορέων στην αναγνώριση πριν από την επίθεση, καθορίζοντας ποια πύλη χρησιμοποιεί το θύμα τους πριν από τη διαμόρφωση των ηλεκτρονικών μηνυμάτων phishing και τη δημιουργία μιας σελίδας landing.
Δείτε επίσης: QNAP: Προειδοποιεί για Linux Sudo ευπάθεια σε NAS συσκευές
Το κακόβουλο λογισμικό “Winter Vivern” χρησιμοποίησε όχι μόνο τρία επίπεδα base64 για να περιπλέξει την ανάλυση, αλλά και κομμάτια νόμιμης JavaScript που έτρεχαν παράλληλα με τις κανονικές λειτουργίες σε μια εγγενή πύλη webmail. Αυτό το καθιστούσε σχεδόν μη ανιχνεύσιμο λόγω της απρόσκοπτης ενσωμάτωσής του στο παρασκήνιο.
Στη συνέχεια, οι δράστες μπορούν να αποκτήσουν πρόσβαση σε εμπιστευτικά δεδομένα σε παραβιασμένα webmails ή ακόμη και να τα χρησιμοποιήσουν για να παρακολουθούν την επικοινωνία κατά τη διάρκεια μιας καθορισμένης περιόδου. Επιπλέον, μπορούν να χρησιμοποιήσουν αυτούς τους λογαριασμούς για επιθέσεις lateral phishing και να εξαπλώσουν την επίθεσή τους περαιτέρω στους προοριζόμενους οργανισμούς.
Παρά το γεγονός ότι οι ερευνητές δηλώνουν ότι η ομάδα «Winter Vivern» δεν είναι ιδιαίτερα εξελιγμένη, ακολουθούν μια αποτελεσματική επιχειρησιακή προσέγγιση που λειτουργεί ακόμη και ενάντια σε στόχους υψηλού προφίλ που αποτυγχάνουν να εφαρμόσουν ενημερώσεις κώδικα λογισμικού αρκετά γρήγορα.
Σε αυτήν την περίπτωση, το CVE-2022-27926 διορθώθηκε στο Zimbra Collaboration 9.0.0 P24, που κυκλοφόρησε τον Απρίλιο του 2022.
Πηγή πληροφοριών: bleepingcomputer.com