TA473 APT IOCs

security

Компания Proofpoint заметила недавнюю активность TA473, связанную со шпионажем, в том числе пока не сообщалось о случаях, когда TA473 атаковал выборных должностных лиц и сотрудников американских органов власти. TA473 - недавно созданный Proofpoint угрожающий агент, что соответствует публичным сообщениям о Winter Vivern.

TA473 APT

  • TA473, по меньшей мере, с февраля 2023 года постоянно использует непропатченную уязвимость Zimbra в публичных порталах веб-почты, что позволяет ему получать доступ к почтовым ящикам правительственных организаций в Европе.
  • TA473 разрабатывает и перерабатывает специальные полезные нагрузки JavaScript, предназначенные для каждого портала веб-почты правительственных организаций.

TA473 публично упоминается как Winter Vivern и UAC-0114 такими поставщиками безопасности, как DomainTools, Lab52, Sentinel One и украинский CERT. Этот угрожающий агент исторически использовал фишинговые кампании для доставки полезной нагрузки PowerShell и JavaScript, а также проводил повторяющиеся кампании по сбору учетных данных с помощью фишинговых писем. С 2021 года компания Proofpoint отмечает, что активные фишинговые кампании были направлены на европейские правительственные, военные и дипломатические организации. Однако в конце 2022 года исследователи Proofpoint также заметили фишинговые кампании, направленные на выборных должностных лиц и сотрудников в США. Исследователи заметили общие черты среди наблюдаемых целей, приманок социальной инженерии и лиц, выдающих себя за других.

Исследователи заметили, что TA473, недавно созданный агент передовых постоянных угроз (APT), отслеживаемый компанией Proofpoint, использует уязвимость CVE-2022-27926 в Zimbra для злоупотребления публичными порталами веб-почты, размещенными на Zimbra. Целью этой деятельности является получение доступа к электронной почте военных, правительственных и дипломатических организаций по всей Европе. Группа использует инструменты сканирования, такие как Acunetix, для выявления незапароленных порталов веб-почты, принадлежащих этим организациям, чтобы определить эффективные методы воздействия на жертв. После первоначального сканирования угрожающие субъекты рассылают фишинговые письма, выдавая их за соответствующие доброкачественные правительственные ресурсы, которые в теле письма содержат гиперссылки на вредоносные URL-адреса, использующие известную уязвимость для выполнения полезной нагрузки JavaScript на порталах веб-почты жертвы.

Кроме того, угрожающие субъекты, похоже, тратят значительное время на изучение каждого экземпляра портала веб-почты, принадлежащего их целям, а также на написание специальных полезных нагрузок JavaScript для осуществления подделки межсайтовых запросов. Эти трудоемкие специализированные полезные нагрузки позволяют злоумышленникам красть имена пользователей, пароли, хранить активные токены сессии и CSRF из cookies, облегчая вход на публичные порталы веб-почты, принадлежащие организациям, входящим в НАТО.

Indicators of Compromise

Domains

  • bugiplaysec.com
  • nepalihemp.com
  • ocspdep.com
  • oscp-avanguard.com
  • troadsecow.com

URLs

  • https://bugiplaysec.com/mgu/auth.js
  • https://nepalihemp.com/assets/img/images/623930va
  • https://ocspdep.com/inotes.sejm.gov.pl?id=[SHA256 для конкретных целей]
  • https://ocs-romastassec.com/redirect/?id=[ID конкретной цели]&url=[URL гиперссылки в кодировке Base64 hochuzhit-com.translate.goog/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&x_tr_pto=wapp]
  • https://oscp-avanguard.com/asn15180YHASIFHOP_[redacted]_ASNfas21/auth.js
  • https://oscp-avanguard.com/settingPopImap/SettingupPOPandIMAPaccounts.html
  • https://troadsecow.com/cbzc.policja.gov.pl
Комментарии: 0