Компания Proofpoint заметила недавнюю активность TA473, связанную со шпионажем, в том числе пока не сообщалось о случаях, когда TA473 атаковал выборных должностных лиц и сотрудников американских органов власти. TA473 - недавно созданный Proofpoint угрожающий агент, что соответствует публичным сообщениям о Winter Vivern.
TA473 APT
- TA473, по меньшей мере, с февраля 2023 года постоянно использует непропатченную уязвимость Zimbra в публичных порталах веб-почты, что позволяет ему получать доступ к почтовым ящикам правительственных организаций в Европе.
- TA473 разрабатывает и перерабатывает специальные полезные нагрузки JavaScript, предназначенные для каждого портала веб-почты правительственных организаций.
TA473 публично упоминается как Winter Vivern и UAC-0114 такими поставщиками безопасности, как DomainTools, Lab52, Sentinel One и украинский CERT. Этот угрожающий агент исторически использовал фишинговые кампании для доставки полезной нагрузки PowerShell и JavaScript, а также проводил повторяющиеся кампании по сбору учетных данных с помощью фишинговых писем. С 2021 года компания Proofpoint отмечает, что активные фишинговые кампании были направлены на европейские правительственные, военные и дипломатические организации. Однако в конце 2022 года исследователи Proofpoint также заметили фишинговые кампании, направленные на выборных должностных лиц и сотрудников в США. Исследователи заметили общие черты среди наблюдаемых целей, приманок социальной инженерии и лиц, выдающих себя за других.
Исследователи заметили, что TA473, недавно созданный агент передовых постоянных угроз (APT), отслеживаемый компанией Proofpoint, использует уязвимость CVE-2022-27926 в Zimbra для злоупотребления публичными порталами веб-почты, размещенными на Zimbra. Целью этой деятельности является получение доступа к электронной почте военных, правительственных и дипломатических организаций по всей Европе. Группа использует инструменты сканирования, такие как Acunetix, для выявления незапароленных порталов веб-почты, принадлежащих этим организациям, чтобы определить эффективные методы воздействия на жертв. После первоначального сканирования угрожающие субъекты рассылают фишинговые письма, выдавая их за соответствующие доброкачественные правительственные ресурсы, которые в теле письма содержат гиперссылки на вредоносные URL-адреса, использующие известную уязвимость для выполнения полезной нагрузки JavaScript на порталах веб-почты жертвы.
Кроме того, угрожающие субъекты, похоже, тратят значительное время на изучение каждого экземпляра портала веб-почты, принадлежащего их целям, а также на написание специальных полезных нагрузок JavaScript для осуществления подделки межсайтовых запросов. Эти трудоемкие специализированные полезные нагрузки позволяют злоумышленникам красть имена пользователей, пароли, хранить активные токены сессии и CSRF из cookies, облегчая вход на публичные порталы веб-почты, принадлежащие организациям, входящим в НАТО.
Indicators of Compromise
Domains
- bugiplaysec.com
- nepalihemp.com
- ocspdep.com
- oscp-avanguard.com
- troadsecow.com
URLs
- https://bugiplaysec.com/mgu/auth.js
- https://nepalihemp.com/assets/img/images/623930va
- https://ocspdep.com/inotes.sejm.gov.pl?id=[SHA256 для конкретных целей]
- https://ocs-romastassec.com/redirect/?id=[ID конкретной цели]&url=[URL гиперссылки в кодировке Base64 hochuzhit-com.translate.goog/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&x_tr_pto=wapp]
- https://oscp-avanguard.com/asn15180YHASIFHOP_[redacted]_ASNfas21/auth.js
- https://oscp-avanguard.com/settingPopImap/SettingupPOPandIMAPaccounts.html
- https://troadsecow.com/cbzc.policja.gov.pl