2021'den beri izlenen grup, e-posta hesaplarını ele geçirmek için yama uygulanmamış Zimbra sunucularından yararlanıyor.
 |
Güvenlik firması Proofpoint'ten araştırmacılar, Rusya ve Beyaz Rusya ile bağlantılı tehdit gruplarının, e-posta hesaplarını ele geçirmeye çalışan saldırılar kullanarak Ukrayna'yı destekleyen seçilmiş ABD'li yetkilileri hedef aldığını söyledi.
Proofpoint'in Perşembe günü yayınladığı bir rapora göre, Avrupa ülkelerinin yetkililerini de hedef alan kampanya, çeşitli NATO bağlantılı kuruluşlara ait bireysel web posta portalları için özelleştirilmiş kötü amaçlı JavaScript kullanıyor. Proofpoint'in 2021'den beri TA473 adı altında takip ettiği tehdit aktörü, hedeflenen herkese açık her web posta portalında amaçlandığı gibi komut dosyalarının hedeflerin kullanıcı adlarını, parolalarını ve diğer hassas oturum açma kimlik bilgilerini çalmasını sağlamak için sürekli keşif ve özenli araştırmalardan yararlanır.
İnatçı hedeflem
Proofpoint tehdit araştırmacısı Michael Raggi bir e-postada, "Bu aktör, Amerikalı ve Avrupalı yetkililerin yanı sıra Avrupa'daki askeri ve diplomatik personeli hedef alma konusunda kararlıydı." "2022'nin sonlarından bu yana TA473, nihayetinde hükümet işleriyle ve Rusya-Ukrayna ile yakından ilgili olanların e-postalarına erişim elde etmek amacıyla Avrupa devlet kurumlarının web posta portallarını incelemek ve kamuya açık altyapıları güvenlik açıkları için taramak için çok fazla zaman harcadı. savaş."
Raggi, seçilmiş ABD yetkilileri ve federal hükümet düzeyindeki personelin yanı sıra Avrupalı kuruluşları da kapsadığını söylemek dışında hedefleri belirlemeyi reddetti. "Hem ABD hem de Avrupa'nın hedef aldığı kuruluşlar arasında birkaç örnekte, bu kimlik avı kampanyalarının hedef aldığı kişiler, Rusya/Ukrayna Savaşı'nda Ukrayna'nın sesli destekçileridir ve/veya uluslararası sahnede Ukrayna'nın desteklenmesine ilişkin girişimlerde yer almıştır." .
Proofpoint tarafından gözlemlenen son saldırıların çoğu, web posta portallarını barındırmak için kullanılan bir yazılım paketi olan Zimbra Collaboration'ın eski sürümlerindeki bir güvenlik açığından yararlandı. CVE-2022-27926 olarak izlenen ve geçtiğimiz Mart ayında yamalanan güvenlik açığı, kimliği doğrulanmamış saldırganların özel hazırlanmış istekler göndererek sunucularda kötü amaçlı Web komut dosyaları yürütmesine olanak tanıyan bir siteler arası komut dosyası çalıştırma kusurudur. Saldırılar yalnızca yamayı henüz yüklememiş olan Zimbra sunucularına karşı çalışır.
Kampanya, ilgili gruplara ait yama uygulanmamış portalları belirlemek için Acunetix gibi tarama araçlarının kullanılmasıyla başlar. TA473 üyeleri daha sonra, alıcıların ilgilendikleri bilgileri içerdiği iddia edilen kimlik avı e-postaları gönderir.
E-postalar, genellikle yama uygulanmamış veya başka bir şekilde savunmasız WordPress tarafından barındırılan alanlardan gelen, güvenliği ihlal edilmiş e-posta adreslerinden gönderilir. E-postaların göndericisi, hedefin normal konumları sırasında etkileşimde bulunduğu bir kişi veya kuruluş olarak görünmek için sahtedir. E-postaların gövdesi zararsız bir URL içerir, ancak tıklandığında köprü, Zimbra güvenlik açığından yararlanan JavaScript'i barındıran bir URL'ye yönlendirir.
Bu birinci aşama komut dosyası, siteler arası istek sahteciliği gerçekleştiren bireysel web portalına göre uyarlanmış ikinci aşama JavaScript'i indirir. Bu CSRF, hedefin kullanıcı adını, parolasını ve kimlik doğrulama belirtecini yakalar. Kötü amaçlı JavaScript, kendisini gizlemek için yerel bir web posta portalında çalışan meşru JavaScript kodunu kullanır.
Süreç, Perşembe günkü gönderide daha ayrıntılı olarak açıklandı:
Kanıt noktası araştırmacıları, hem yukarıda bahsedilen CVE-2022-27926 istismarı hem de iyi huylu URL'lerin hiper bağlantısından kaynaklanan TA473 kontrollü altyapı teslimi gibi daha önceki teslim mekanizmaları aracılığıyla sağlanan teslimatla özelleştirilmiş CSRF JavaScript yükleri gibi görünen birkaç örnek belirlediler. kimlik avı e-postasının gövdesi. Bu CSRF JavaScript kod blokları, savunmasız bir web posta örneğini barındıran sunucu tarafından yürütülür. Ayrıca, bu JavaScript, hedeflerin kullanıcı adını, parolasını ve CSRF belirtecini gösteren anahtar web isteği ayrıntılarını döndürmek için yerel web posta portalının JavaScript'ini çoğaltır ve öykünmesine dayanır. Bazı durumlarda araştırmacılar, TA473'ün özellikle RoundCube web posta istek belirteçlerini de hedef aldığını gözlemledi. Hangi web posta portalının hedeflenen Avrupa devlet kurumları tarafından yürütüldüğüne ilişkin bu ayrıntılı odaklanma, TA473'ün kuruluşlara kimlik avı e-postaları göndermeden önce yürüttüğü keşif düzeyini gösterir. Bu sonraki aşama TA473 CSRF JavaScript yükleri, JavaScript'in işlevselliğini gizlemek için birkaç Base64 kodlama katmanı da kullanır. Aktör, bu teslim edilen yüklerin analizini karmaşık hale getirmek için Base64 kodlu JavaScript'in iç içe geçmiş üç örneğini ekler. Ancak, betiğin kodunun çözülmesi, amaçlanan kötü amaçlı işlevselliği ortaya çıkarmak için önemsizdir.
Şubat ayında teslim edilen kötü amaçlı bir JavaScript parçası aşağıdaki özelliklere sahipti:
- Kullanıcı adlarını çalmak
- Kullanıcının şifresini çalmak
- Web isteği yanıtındaki bir tanımlama bilgisinden etkin bir CSRF belirteci çalın
- Çalınan değerleri aktör tarafından kontrol edilen sunucuda önbelleğe alın
- Etkin belirteçlerle meşru posta portalına giriş yapmayı deneyin
- Komut dosyası, işlevselliğinde ek URL'leri kullanır:
- Aktör tarafından kontrol edilen sunucuda barındırılan Pop3 ve IMAP talimatlarını görüntüler
- Yerel URL aracılığıyla meşru web posta portalına giriş yapmaya çalışır
Diğer güvenlik firmalarındaki araştırmacılar, TA473'ü, DomainTools'tan araştırmacılar tarafından türetilen ve grubun kontrol sunucularıyla iletişim kurarken kullanılan kötü amaçlı yazılımının erken bir parçası olan dosya yolundan alınan bir ad olan Winter Vivern olarak izliyor. Vivern, kanatları ve dikenli kuyruğu olan mitolojik iki ayaklı bir ejderha olan wyvern'in bir varyasyonu gibi görünüyor.
Lab52 ve SentinelLabs güvenlik şirketlerinden araştırmacılar da grubun profilini çıkardı. Winter Vivern'i takip eden dört güvenlik firmasının tümü aynı fikirde: Grubun finansman ve ileri tekniklerdeki eksiklikleri, sebat ve derin ve dikkatli araştırmalarla telafi ediliyor.
Proofpoint, "TA473, Avrupa siber ortamını hedef alan APT tehditleri arasında karmaşıklık açısından lider olmasa da, jeopolitik olarak açıkta olan hedefleri tehlikeye atmak için odaklanma, sebat ve tekrarlanabilir bir süreç sergiliyorlar" diye yazdı. "Ortaçağ kışındaki bir Vivern gibi, sadece iki bacağı ve bir çift kanadı olmasına rağmen, bu muhtemelen yıl boyunca devam edecek bir tehdit."
Tags:
Bilgi Teknolojisi