I ricercatori Proofpoint hanno osservato TA473, un attore di minacce persistenti avanzate (APT) emerso recentemente sfruttare la vulnerabilità CVE-2022-27926 di Zimbra per abusare dei portali di webmail ospitati da Zimbra utilizzati dai governi europei. Si ritiene che l’obiettivo di questa attività sia ottenere l’accesso a e-mail di organizzazioni militari, governative e diplomatiche in Europa coinvolte nella guerra russo-ucraina.
I governi europei sotto attacco
Il gruppo utilizza strumenti di scansione come Acunetix per identificare portali webmail non patchati appartenenti ai governi europei. L’obbiettivo è quello di individuare metodi praticabili per colpire le vittime. Dopo una ricognizione iniziale, gli attori delle minacce inviano e-mail di phishing che si spacciano per risorse governative innocue e significative. Nel corpo dell’e-mail però, presentano URL dannosi che abusano di vulnerabilità note per eseguire payload JavaScript all’interno dei portali webmail delle vittime.
Inoltre, gli attori delle minacce sembrano investire molto tempo nello studio di ogni istanza del portale di webmail appartenente ai loro obiettivi e nella scrittura di payload JavaScript personalizzati per lanciare un attacco Cross Site Request Forgery. Questi payload personalizzati ad alta intensità di lavoro consentono agli attori di rubare nomi utente, password e memorizzare token attivi di sessione e CSRF dai cookie, facilitando l’accesso ai portali webmail pubblici appartenenti a organizzazioni allineate alla NATO.
Prova Bitdefender. Leader in Cybersecurity
TA473: un attore di minacce persistenti avanzate (APT)
I ricercatori di Proofpoint hanno recentemente promosso TA473 ad attore di minacce tracciato pubblicamente. Conosciuto nella ricerca open-source come Winter Vivern, Proofpoint ne segue le attività almeno dal 2021. TA473 è pubblicamente indicato come Winter Vivern e UAC-0114 da fornitori di sicurezza come DomainTools, Lab52, Sentinel One e il CERT ucraino. Questo attore di minacce ha storicamente sfruttato campagne di phishing per fornire payload PowerShell e JavaScript, oltre a condurre campagne ricorrenti di raccolta di credenziali utilizzando e-mail di phishing. Dal 2021 Proofpoint ha osservato una concentrazione concertata su enti governativi, militari e diplomatici europei in campagne di phishing attive.
Tuttavia, alla fine del 2022, i ricercatori di Proofpoint hanno osservato anche campagne di phishing che hanno preso di mira funzionari e personale eletto negli Stati Uniti. Dall’inizio della guerra tra Russia e Ucraina, i ricercatori hanno osservato una comunanza tra gli obiettivi osservati, le esche di social engineering e gli individui impersonati. Spesso le persone prese di mira sono esperte in aspetti della politica o dell’economia europea in relazione alle regioni colpite dal conflitto in corso. Le esche di ingegneria sociale e le organizzazioni impersonate riguardano spesso l’Ucraina nel contesto del conflitto armato.
Che aspetto ha una campagna di phishing TA473?
Proofpoint ha osservato un’evoluzione delle campagne di phishing TA473 dal 2021. Questo attore di minacce è stato osservato impiegare exploit opportunistici per prendere di mira le sue vittime, che includono vulnerabilità popolari di 1 giorno come l’exploit CVE-2022-30190 (“Follina”) divulgato a maggio 2022. Tuttavia, più comunemente questo attore di minacce sfrutta una serie ricorrente di tecniche di phishing in ogni campagna e-mail. Le tattiche di phishing riportate di seguito sono state costantemente osservate sia negli Stati Uniti che in Europa, nonché nelle campagne di raccolta di credenziali, consegna di malware e contraffazione di richieste tra siti (CSRF). Scopriamo insieme la strategia d’azione passo passo:
- TA473 invia e-mail da indirizzi e-mail compromessi. Spesso queste e-mail provengono da domini ospitati da WordPress che potrebbero essere privi di patch o non sicuri al momento della compromissione.
- Falsifica il campo mittente dell’e-mail per apparire come un utente dell’organizzazione mirata. Oppure falsifica il campo mittente dell’e-mail per apparire come un’organizzazione paritaria coinvolta nella politica globale.
- Include un URL innocuo dell’organizzazione mirata o di un’organizzazione peer pertinente nel corpo dell’e-mail.
- Collega quindi questo URL innocuo riconosciuto con un’infrastruttura compromessa o controllata dall’attore per fornire un payload di prima fase o per reindirizzare a una pagina di destinazione per la raccolta delle credenziali.
- Utilizza spesso percorsi URI strutturati che indicano un valore con hash per l’individuo preso di mira, un’indicazione non codificata dell’organizzazione presa di mira e, in alcuni casi, versioni codificate o in testo semplice dell’URL benigno a cui era stato aggiunto un collegamento ipertestuale nell’e-mail iniziale alle destinazioni.
Per tutte le informazioni su TA473 è possibile consultare la pagina dedicata di Proofpoint.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
