НАТО в ужасе: Winter Vivern похищает правительственные письма через уязвимость Zimbra

• 31 марта, 2023
• 13:30

Предположительно российская киберпреступная группа, отслеживаемая под кодовым названием TA473 или «Winter Vivern» («Зимняя Виверна»), с февраля 2023 года активно использует уязвимости в неисправленных конечных точках Zimbra для кражи электронных писем официальных лиц НАТО, правительств, военнослужащих и дипломатов.

Две недели назад SentinelLabs – это компания, которая занимается аналитикой и исследованием в области безопасности компьютерных систем и сетей. Она предоставляет услуги в сфере информационной безопасности, включая мониторинг угроз, защиту от взлома и поддержку в случае кризиса.

» data-html=»true» data-original-title=»SentinelLabs»>SentinelLabs сообщила
о недавней операции
Winter Vivern с использованием сайтов, имитирующих европейские агентства, борющиеся с киберпреступностью, для распространения вредоносного ПО.

Сегодня компания Proofpoint — это компания, которая занимается защитой от цифровых угроз. Она предлагает ряд решений для защиты корпоративных почтовых систем, включая фильтрацию спама и мошеннических писем, защиту от вредоносного ПО и фишинга, а также контроль доступа к электронной почте и мониторинг компрометации учетных данных. Компания также предоставляет решения для защиты социальных медиа, мобильных устройств и ключевых информационных систем. Она сотрудничает с крупными корпорациями и правительственными организациями по всему миру для обеспечения защиты их цифровой инфраструктуры от различных угроз.

» data-html=»true» data-original-title=»Proofpoint»>Proofpoint опубликовала новый отчёт о том, как злоумышленники эксплуатируют CVE-2022-27926 на серверах Zimbra Collaboration для доступа к сообщениям организаций и лиц, связанных с НАТО.

Атаки Winter Vivern начинаются с того, что киберпреступники ищут неисправленные (не обновлённые до последней версии) конечные точки Zimbra с помощью сканера уязвимостей Acunetix. Затем хакеры отправляют фишинговое электронное письмо со взломанного адреса. Это письмо подделывается таким образом, чтобы жертва была уверена, отправитель — её знакомый или коллега.

Электронное письмо от Winter Vivern

Электронные письма содержат ссылку, которая использует CVE-2022-27926 в скомпрометированной инфраструктуре Zimbra для внедрения вредоносных скриптов JavaScript — это язык программирования, с помощью которого web-страницам придается интерактивность. С его помощью создаются приложения, которые включаются в HTML-код. Вся уникальность данного языка программирования заключается в том, что он поддерживается практически всеми браузерами и полностью интегрируется с ними.

» data-html=»true» data-original-title=»JavaScript»>JavaScript на веб-страницу. Затем эти скрипты используются для кражи имён пользователей, паролей и токенов из cookie-файлов, полученных от скомпрометированной конечной точки Zimbra. Эта информация позволяет злоумышленникам свободно получать доступ к учётным записям электронной почты целей. «Эти блоки кода JavaScript CSRF выполняются сервером, на котором размещен уязвимый экземпляр веб-почты», — объясняют специалисты Proofpoint в своём отчёте.

Полная цепочка атак

Помимо трёх уровней обфускации Base64 — это метод кодирования бинарных данных (например, изображений, звуковых файлов, текстовых документов) в ASCII-текст. Данные преобразуются в последовательность символов, которые могут быть переданы по сети или сохранены в текстовом файле без искажения содержимого. Кодирование Base64 использует ровно 64 символа, включая буквы латинского алфавита в верхнем и нижнем регистрах, цифры и несколько специальных символов. Для декодирования из Base64 используется алгоритм обратного преобразования.

» data-html=»true» data-original-title=»Base64″>base64, примененных к вредоносному коду JavaScript для более сложного анализа, «Winter Vivern» также оставляет части легитимного кода JavaScript, смешиваясь с обычными операциями и снижая вероятность обнаружения.

Обфусцированный JavaScript

Наконец, злоумышленники могут получить доступ к конфиденциальной информации на скомпрометированных веб-сайтах электронной почты или сохранять контроль над сообщениями в течение определенного периода времени. Кроме того, хакеры могут использовать взломанные учётные записи для проведения боковых фишинговых атак и дальнейшего проникновения в целевые организации.

Несмотря на то, что исследователи заявляют, что «Зимняя Виверна» не использует особенно сложных методов, они придерживаются эффективного оперативного подхода, который работает даже против высокопоставленных целей. Последние вредоносные кампании этой группировки наглядно показывают, почему не стоит затягивать с обновлением программного обеспечения. Ведь хакеры использовали уязвимость, которая была исправлена в Zimbra Collaboration версии 9.0.0 P24, выпущенной аж 10 месяцев назад, в апреле 2022 года.