Attacchi di phishing e ingegneria sociale diventano sempre più pericolosi e alzano il tiro. I ricercatori Proofpoint hanno osservato TA473, un attore di minacce persistenti avanzate (APT) emerso recentemente sfruttare la vulnerabilità CVE-2022-27926 di Zimbra per abusare dei portali di webmail ospitati da Zimbra rivolti al pubblico. Si ritiene che l’obiettivo di questa attività sia ottenere l’accesso a e-mail di organizzazioni militari, diplomatiche e dei governi europei coinvolti nella guerra russo-ucraina. Il gruppo utilizza strumenti di scansione come Acunetix per identificare portali webmail non patchati appartenenti a queste organizzazioni, al fine di individuare metodi praticabili per colpire le vittime.
Gli attacchi tramite phishing
Dopo una ricognizione iniziale, gli attori delle minacce inviano e-mail di phishing che si spacciano per risorse governative innocue e significative, ma che nel corpo dell’e-mail presentano URL dannosi che abusano di vulnerabilità note per eseguire payload JavaScript all’interno dei portali webmail delle vittime. Inoltre, gli attori delle minacce sembrano investire molto tempo nello studio di ogni istanza del portale di webmail appartenente ai loro obiettivi e nella scrittura di payload JavaScript personalizzati per lanciare un attacco Cross Site Request Forgery. Questi payload personalizzati ad alta intensità di lavoro consentono agli attori di rubare nomi utente, password e memorizzare token attivi di sessione e CSRF dai cookie, facilitando l’accesso ai portali webmail pubblici appartenenti a governi europei allineati alla NATO.
I ricercatori di Proofpoint hanno recentemente promosso TA473 ad attore di minacce tracciato pubblicamente. Conosciuto nella ricerca open-source come Winter Vivern, Proofpoint ne segue le attività almeno dal 2021.
TA473 è pubblicamente indicato come Winter Vivern e UAC-0114 da fornitori di sicurezza come DomainTools, Lab52, Sentinel One e il CERT ucraino. Questo attore di minacce ha storicamente sfruttato campagne di phishing per fornire payload PowerShell e JavaScript, oltre a condurre campagne ricorrenti di raccolta di credenziali utilizzando e-mail di phishing.
Governi europei, enti militari e diplomatici sotto attacco
Dal 2021 Proofpoint ha osservato una concentrazione concertata su enti militari, diplomatici e governi europei in campagne di phishing attive. Tuttavia, alla fine del 2022, i ricercatori di Proofpoint hanno osservato anche campagne di phishing che hanno preso di mira funzionari e personale eletto negli Stati Uniti. Dall’inizio della guerra tra Russia e Ucraina, i ricercatori hanno osservato una comunanza tra gli obiettivi osservati, le esche di social engineering e gli individui impersonati. Spesso le persone prese di mira sono esperte in aspetti della politica o dell’economia europea in relazione alle regioni colpite dal conflitto in corso. Le esche di ingegneria sociale e le organizzazioni impersonate riguardano spesso l’Ucraina nel contesto del conflitto armato.