Allarme Proofpoint: cyber spionaggio del gruppo TA473

Obiettivo: accedere a e-mail di organizzazioni militari, governative e diplomatiche europee coinvolte nella guerra russo-ucraina.

Identità digitale cyber spionaggio

Proofpoint ha segnalato le attività di cyber spionaggio di TA473, gruppo che sfrutta una vulnerabilità di Zimbra per colpire dei portali di webmail dei principali governi europei rivolti al pubblico. TA473 è un attore di minacce persistenti avanzate (APT) emerso recentemente per sfruttare la vulnerabilità CVE-2022-27926 di Zimbra. Obiettivo di questa attività è quello di ottenere l’accesso a e-mail di organizzazioni militari, governative e diplomatiche in Europa coinvolte nella guerra russo-ucraina. Il gruppo utilizza strumenti di scansione come Acunetix per identificare portali webmail non patchati appartenenti a queste organizzazioni, per individuare metodi per colpire le vittime.

Il modus operandi di TA473

Dopo una ricognizione iniziale, gli attori delle minacce inviano e-mail di phishing che si spacciano per risorse governative innocue e significative. Tuttavia nel corpo dell’e-mail ci sono URL dannosi che abusano di vulnerabilità note per eseguire payload JavaScript all’interno dei portali webmail delle vittime. Inoltre, gli attori delle minacce sembrano dedicare molto tempo allo studio del portale di webmail nei loro obiettivi e alla scrittura di payload JavaScript personalizzati per lanciare un attacco Cross Site Request Forgery.

Attività di cyber spionaggio

Questi payload personalizzati ad alta intensità di lavoro consentono agli attori di rubare nomi utente, password e memorizzare token attivi di sessione e CSRF dai cookie. Questo facilita l’accesso ai portali webmail pubblici appartenenti a organizzazioni allineate alla Nato. I ricercatori di Proofpoint hanno recentemente promosso TA473 ad attore di minacce tracciato pubblicamente. Conosciuto nella ricerca open-source come Winter Vivern, Proofpoint ne segue le attività almeno dal 2021.

Focus su Europa e Usa

TA473 è pubblicamente indicato come Winter Vivern e UAC-0114 da fornitori di sicurezza come DomainTools, Lab52, Sentinel One e il CERT ucraino. Questo attore di minacce ha storicamente sfruttato campagne di phishing per fornire payload PowerShell e JavaScript. Ha inoltre condotto campagne ricorrenti di raccolta di credenziali utilizzando e-mail di phishing. Dal 2021 Proofpoint ha osservato una concentrazione concertata su enti governativi, militari e diplomatici europei in campagne di phishing attive. Tuttavia, a fine 2022, i ricercatori Proofpoint hanno osservato anche campagne di phishing che hanno preso di mira funzionari e personale eletto negli Stati Uniti.

La guerra in Ucraina

Dall’inizio della guerra tra Russia e Ucraina, i ricercatori hanno osservato una comunanza tra gli obiettivi osservati, le esche di social engineering e gli individui impersonati. Spesso le persone prese di mira sono esperte in aspetti della politica o dell’economia europea in relazione alle regioni colpite dal conflitto in corso. Le esche di ingegneria sociale e le organizzazioni impersonate riguardano spesso l’Ucraina nel contesto del conflitto armato.