Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Субъекты угроз, действующие в интересах Беларуси и России, были связаны с новой кампанией кибершпионажа, которая, вероятно, использовала уязвимости межсайтового скриптинга (XSS) в серверах веб-почты Roundcube для атаки на более чем 80 организаций.
Эти организации в основном расположены в Грузии, Польше и Украине, согласно Recorded Future, которые приписали набор вторжений субъекту угрозы, известному как Winter Vivern, который также известен как TA473 и UAC0114. Компания по кибербезопасности отслеживает хакерскую группу под псевдонимом Threat Activity Group 70 (TAG-70).
Использование Winter Vivern недостатков безопасности в Roundcube и программном обеспечении было ранее подчеркнуто ESET в октябре 2023 года, когда она присоединилась к другим связанным с Россией группам участников угроз, таким как APT28, APT29 и Sandworm, которые, как известно, нацелены на программное обеспечение для электронной почты.
Злоумышленник, который был активен как минимум с декабря 2020 года, также был связан со злоупотреблением исправленной уязвимостью в почтовом программном обеспечении Zimbra Collaboration в прошлом году для проникновения в организации в Молдове и Тунисе в июле 2023 года.
Кампания, обнаруженная Recorded Future, проводилась с начала октября 2023 года и продолжалась до середины месяца с целью сбора разведданных о политической и военной деятельности в Европе. Атаки перекрываются с дополнительной активностью TAG-70 против правительственных почтовых серверов Узбекистана, которая была обнаружена в марте 2023 года.
"TAG70 продемонстрировала высокий уровень изощренности своих методов атаки", - заявили в компании. "Злоумышленники использовали методы социальной инженерии и использовали уязвимости межсайтового скриптинга на почтовых серверах Roundcube, чтобы получить несанкционированный доступ к целевым почтовым серверам, минуя защиту правительственных и военных организаций".
Цепочки атак включают использование недостатков Roundcube для доставки полезных нагрузок JavaScript, предназначенных для передачи учетных данных пользователя на сервер командования и управления (C2).
Recorded Future заявила, что также обнаружила доказательства того, что TAG-70 был нацелен на посольства Ирана в России и Нидерландах, а также на посольство Грузии в Швеции.
"Нападения на посольства Ирана в России и Нидерландах свидетельствуют о более широком геополитическом интересе к оценке дипломатической деятельности Ирана, особенно в том, что касается его поддержки России на Украине", - говорится в сообщении.
"Аналогичным образом, шпионаж против грузинских правительственных структур отражает интересы по мониторингу стремлений Грузии к вступлению в Европейский союз (ЕС) и НАТО".
