Nowa kampania szpiegowska, przypisywana działaniom hakerów działających z korzyścią dla Rosji i Białorusi, wykorzystuje podatności typu cross-site scripting (XSS) w serwerach pocztowych Roundcube, mając na celu infiltrację ponad 80 organizacji. Według informacji od Recorded Future, te ataki skupiały się głównie na celach zlokalizowanych w Gruzji, Polsce i Ukrainie. Za tą aktywnością stoi grupa znana jako Winter Vivern, identyfikowana również jako TA473 i UAC0114, którą firma cyberbezpieczeństwa monitoruje pod nazwą Threat Activity Group 70 (TAG-70).
ESET już w październiku 2023 roku zwracało uwagę na wykorzystywanie przez Winter Vivern podatności w Roundcube i oprogramowaniu, co wpisuje się w działania innych grup hakerskich związanych z Rosją, takich jak APT28, APT29 czy Sandworm, specjalizujących się w atakach na oprogramowanie pocztowe.
Grupa, aktywna przynajmniej od grudnia 2020 roku, została również powiązana z wykorzystaniem załatanej już luki w oprogramowaniu Zimbra Collaboration do infiltracji organizacji w Mołdawii i Tunezji w lipcu 2023 roku.
Kampania odkryta przez Recorded Future miała miejsce na początku października 2023 roku i trwała do połowy miesiąca, mając na celu zbieranie informacji o europejskiej polityce i działalności wojskowej. Ataki te pokrywały się z innymi działaniami TAG-70 przeciwko serwerom pocztowym rządu Uzbekistanu wykrytymi w marcu 2023 roku.
“TAG-70 wykazało wysoki poziom zaawansowania w metodach ataku,” stwierdza firma. “Aktorzy zagrożenia wykorzystywali techniki inżynierii społecznej i podatności XSS w serwerach pocztowych Roundcube, aby uzyskać nieautoryzowany dostęp do docelowych serwerów pocztowych, omijając obronę organizacji rządowych i wojskowych.”
Łańcuchy ataku opierały się na wykorzystaniu słabości Roundcube do dostarczania ładunków JavaScript, które miały za zadanie wykradać dane uwierzytelniające użytkowników na serwer kontrolowany przez napastników.
Recorded Future odnotowało również dowody na to, że TAG-70 celowało w ambasady Iranu w Rosji i Holandii oraz ambasadę Gruzji w Szwecji.
Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.
Używamy plików cookie, aby poprawić jakość przeglądania, wyświetlać reklamy lub treści dostosowane do indywidualnych potrzeb użytkowników oraz analizować ruch na stronie.Zgoda