Ciberseguridad 360 | Winter Vivern APT ataca a entidades gubernamentales europeas con la vulnerabilidad de Zimbra

El actor de amenazas persistentes avanzadas (APT) conocido como Winter Vivern tiene ahora como objetivo a funcionarios de Europa y Estados Unidos como parte de una campa�a de ciberespionaje en curso.

"Desde al menos febrero de 2023, TA473 ha aprovechado continuamente una vulnerabilidad no parcheada de Zimbra en los portales de correo web de cara al p�blico que les permite acceder a los buzones de correo electr�nico de las entidades gubernamentales en Europa", dijo Proofpoint en un nuevo informe.

La firma de seguridad empresarial est� siguiendo la actividad bajo su propio apodo TA473 (alias UAC-0114), describi�ndola como una banda de adversarios cuyas operaciones se alinean con las de los objetivos geopol�ticos rusos y bielorrusos.

Lo que le falta en sofisticaci�n, le sobra en persistencia. En los �ltimos meses, el grupo ha estado vinculado a ataques dirigidos contra autoridades estatales de Ucrania y Polonia, as� como contra funcionarios gubernamentales de la India, Lituania, Eslovaquia y el Vaticano.

La oleada de intrusiones relacionadas con la OTAN supone la explotaci�n de CVE-2022-27926 (puntuaci�n CVSS: 6,1), un fallo de seguridad de gravedad media ya parcheado en Zimbra Collaboration que podr�a permitir a atacantes no autentificados ejecutar c�digo JavaScript o HTML arbitrario.

Esto tambi�n implica el empleo de herramientas de escaneado como Acunetix para identificar portales de correo web sin parches pertenecientes a organizaciones objetivo con el objetivo de enviar correos electr�nicos de phishing bajo la apariencia de organismos gubernamentales benignos.

Los mensajes vienen con URLs trampa que explotan el fallo de cross-site scripting (XSS) en Zimbra para ejecutar cargas �tiles JavaScript codificadas en Base64 dentro de los portales de correo web de las v�ctimas para extraer nombres de usuario, contrase�as y tokens de acceso.

Vale la pena se�alar que cada carga JavaScript est� adaptada al portal de correo web objetivo, lo que indica que el actor de la amenaza est� dispuesto a invertir tiempo y recursos para reducir la probabilidad de detecci�n.

"El enfoque persistente de TA473 hacia el escaneo de vulnerabilidades y la explotaci�n de vulnerabilidades sin parches que afectan a los portales de correo web de cara al p�blico es un factor clave en el �xito de este actor", dijo Proofpoint.

"El enfoque del grupo en el reconocimiento sostenido y el estudio minucioso de los portales de correo web expuestos al p�blico para revertir la ingenier�a JavaScript capaz de robar nombres de usuario, contrase�as y tokens CSRF demuestra su inversi�n en comprometer objetivos espec�ficos."

Los hallazgos se producen en medio de revelaciones de que al menos tres agencias de inteligencia rusas, entre ellas el FSB, la GRU (vinculada a Sandworm) y la SVR (vinculada a APT29), probablemente utilizan software y herramientas de pirateo desarrolladas por un contratista de TI con sede en Mosc� llamado NTC Vulkan.

Esto incluye marcos como Scan (para facilitar la recopilaci�n de datos a gran escala), Amesit (para llevar a cabo operaciones de informaci�n y manipular la opini�n p�blica) y Krystal-2B (para simular ataques coordinados de IoT contra sistemas de control de ferrocarriles y oleoductos).

"Krystal-2B es una plataforma de entrenamiento que simula ataques OT contra diferentes tipos de entornos OT en coordinaci�n con algunos componentes IO aprovechando Amesit 'con el prop�sito de perturbar'", dijo Mandiant, propiedad de Google.

"Los proyectos contratados de NTC Vulkan proporcionan una visi�n de la inversi�n de los servicios de inteligencia rusos en el desarrollo de capacidades para desplegar operaciones m�s eficientes dentro del inicio del ciclo de vida del ataque, una pieza de las operaciones a menudo oculta a nuestra vista", dijo la firma de inteligencia de amenazas.

Fuentes: thehackernews