ESET już w październiku 2023 roku zwracało uwagę na wykorzystywanie przez Winter Vivern podatności w Roundcube i oprogramowaniu, co wpisuje się w działania innych grup hakerskich związanych z Rosją, takich jak APT28, APT29 czy Sandworm, specjalizujących się w atakach na oprogramowanie pocztowe.
Grupa, aktywna przynajmniej od grudnia 2020 roku, została również powiązana z wykorzystaniem załatanej już luki w oprogramowaniu Zimbra Collaboration do infiltracji organizacji w Mołdawii i Tunezji w lipcu 2023 roku.
Kampania odkryta przez Recorded Future miała miejsce na początku października 2023 roku i trwała do połowy miesiąca, mając na celu zbieranie informacji o europejskiej polityce i działalności wojskowej. Ataki te pokrywały się z innymi działaniami TAG-70 przeciwko serwerom pocztowym rządu Uzbekistanu wykrytymi w marcu 2023 roku.
“TAG-70 wykazało wysoki poziom zaawansowania w metodach ataku,” stwierdza firma. “Aktorzy zagrożenia wykorzystywali techniki inżynierii społecznej i podatności XSS w serwerach pocztowych Roundcube, aby uzyskać nieautoryzowany dostęp do docelowych serwerów pocztowych, omijając obronę organizacji rządowych i wojskowych.”
Łańcuchy ataku opierały się na wykorzystaniu słabości Roundcube do dostarczania ładunków JavaScript, które miały za zadanie wykradać dane uwierzytelniające użytkowników na serwer kontrolowany przez napastników.
Recorded Future odnotowało również dowody na to, że TAG-70 celowało w ambasady Iranu w Rosji i Holandii oraz ambasadę Gruzji w Szwecji.
Więcej informacji w raporcie Recorded Future
