Um grupo de hackers russos conhecido como TA473, também chamado de 'Winter Vivern', está explorando ativamente vulnerabilidades em endpoints Zimbra não corrigidos desde fevereiro de 2023 para roubar e-mails de oficiais da OTAN, governos, militares e diplomatas.
Há duas semanas, a Sentinel Labs relatou uma operação recente do 'Winter Vivern' usando sites que imitam agências europeias de combate ao cibercrime para espalhar malware que finge ser um scanner de vírus.
Hoje, a Proofpoint publicou um novo relatório sobre como o grupo de ameaças explora a
CVE-2022-27926
em servidores de colaboração Zimbra para acessar as comunicações de organizações e pessoas alinhadas à OTAN.
Os ataques do Winter Vivern começam com o grupo de ameaças rastreando plataformas de webmail não corrigidas usando a ferramenta de vulnerabilidade Acunetix.
Em seguida, os hackers enviam um e-mail de phishing de um endereço comprometido que é falsificado para parecer como alguém familiar ao alvo ou de alguma forma relevante à sua organização.
Os e-mails contêm um link que explora a
CVE-2022-27926
na infraestrutura Zimbra comprometida do alvo para injetar outros payloads JavaScript na página da web.
Esses payloads são então usados para roubar nomes de usuário, senhas e tokens de cookies recebidos do endpoint Zimbra comprometido.
Essas informações permitem que os hackers acessem as contas de e-mail dos alvos livremente.
"Esses blocos de código JavaScript CSRF são executados pelo servidor que hospeda uma instância de webmail vulnerável", explica a Proofpoint no relatório.
"Além disso, esse JavaScript replica e depende da emulação do JavaScript do portal nativo de webmail para retornar detalhes-chave de solicitação da web que indicam o nome de usuário, senha e token CSRF dos alvos."
"Em alguns casos, os pesquisadores observaram a TA473 direcionando especificamente tokens de solicitação do webmail RoundCube também."
Esse detalhe demonstra a diligência dos hackers na reconhecimento pré-ataque, descobrindo qual portal o alvo usa antes de criar os e-mails de phishing e definir a função da página de destino.
Além das três camadas de obfuscação base64 aplicadas no JavaScript malicioso para tornar a análise mais complicada, o 'Winter Vivern' também incluiu partes do JavaScript legítimo que roda em um portal nativo de webmail, se misturando com as operações normais e diminuindo a probabilidade de detecção.
Por fim, os hackers podem acessar informações confidenciais nos webmails comprometidos ou manter o controle para monitorar as comunicações ao longo do tempo.
Além disso, os hackers podem usar as contas violadas para realizar ataques de phishing lateral e aumentar ainda mais sua infiltração nas organizações alvo.
Apesar dos pesquisadores afirmarem que o 'Winter Vivern' não é particularmente sofisticado, eles seguem uma abordagem operacional eficaz que funciona mesmo contra alvos de alto perfil que não aplicam patches de software com rapidez suficiente.
Neste caso, a
CVE-2022-27926
foi corrigida no Zimbra Collaboration 9.0.0 P24, lançado em abril de 2022.
Considerando que os primeiros ataques foram observados em fevereiro de 2023, o atraso na aplicação da atualização de segurança é medido em pelo menos dez meses.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...