Proofpoint ha segnalato le attività di cyber spionaggio di TA473, gruppo che sfrutta una vulnerabilità di Zimbra per colpire dei portali di webmail dei principali governi europei rivolti al pubblico. TA473 è un attore di minacce persistenti avanzate (APT) emerso recentemente per sfruttare la vulnerabilità CVE-2022-27926 di Zimbra. Obiettivo di questa attività è quello di ottenere l’accesso a e-mail di organizzazioni militari, governative e diplomatiche in Europa coinvolte nella guerra russo-ucraina. Il gruppo utilizza strumenti di scansione come Acunetix per identificare portali webmail non patchati appartenenti a queste organizzazioni, per individuare metodi per colpire le vittime.
Il modus operandi di TA473
Dopo una ricognizione iniziale, gli attori delle minacce inviano e-mail di phishing che si spacciano per risorse governative innocue e significative. Tuttavia nel corpo dell’e-mail ci sono URL dannosi che abusano di vulnerabilità note per eseguire payload JavaScript all’interno dei portali webmail delle vittime. Inoltre, gli attori delle minacce sembrano dedicare molto tempo allo studio del portale di webmail nei loro obiettivi e alla scrittura di payload JavaScript personalizzati per lanciare un attacco Cross Site Request Forgery.
Attività di cyber spionaggio
Questi payload personalizzati ad alta intensità di lavoro consentono agli attori di rubare nomi utente, password e memorizzare token attivi di sessione e CSRF dai cookie. Questo facilita l’accesso ai portali webmail pubblici appartenenti a organizzazioni allineate alla Nato. I ricercatori di Proofpoint hanno recentemente promosso TA473 ad attore di minacce tracciato pubblicamente. Conosciuto nella ricerca open-source come Winter Vivern, Proofpoint ne segue le attività almeno dal 2021.
Focus su Europa e Usa
TA473 è pubblicamente indicato come Winter Vivern e UAC-0114 da fornitori di sicurezza come DomainTools, Lab52, Sentinel One e il CERT ucraino. Questo attore di minacce ha storicamente sfruttato campagne di phishing per fornire payload PowerShell e JavaScript. Ha inoltre condotto campagne ricorrenti di raccolta di credenziali utilizzando e-mail di phishing. Dal 2021 Proofpoint ha osservato una concentrazione concertata su enti governativi, militari e diplomatici europei in campagne di phishing attive. Tuttavia, a fine 2022, i ricercatori Proofpoint hanno osservato anche campagne di phishing che hanno preso di mira funzionari e personale eletto negli Stati Uniti.
Dall’inizio della guerra tra Russia e Ucraina, i ricercatori hanno osservato una comunanza tra gli obiettivi osservati, le esche di social engineering e gli individui impersonati. Spesso le persone prese di mira sono esperte in aspetti della politica o dell’economia europea in relazione alle regioni colpite dal conflitto in corso. Le esche di ingegneria sociale e le organizzazioni impersonate riguardano spesso l’Ucraina nel contesto del conflitto armato.
