Atuantes cibernéticos operando com interesses alinhados a Belarus e Rússia foram associados a uma nova campanha de espionagem cibernética que provavelmente explorou vulnerabilidades de script em sites cruzados (XSS) em servidores de webmail Roundcube para atacar mais de 80 organizações.
Essas entidades estão principalmente localizadas na Geórgia, Polônia e Ucrânia, de acordo com a Recorded Future, que atribuiu o conjunto de invasões a um atuante cibernético conhecido como Winter Vivern, também conhecido como TA473 e UAC0114.
A empresa de segurança cibernética está rastreando o grupo de hackers sob o codinome Grupo de Atividade de Ameaça 70 (TAG-70).
A exploração do Winter Vivern de falhas de segurança no Roundcube e software foi destacada anteriormente pela ESET em outubro de 2023, juntando-se a outros grupos de atuantes cibernéticos vinculados à Rússia, como APT28, APT29 e Sandworm, que são conhecidos por atacar softwares de email.
O adversário, ativo desde pelo menos dezembro de 2020, também foi associado ao abuso de uma vulnerabilidade agora corrigida no software de email de colaboração Zimbra no ano passado para infiltrar-se em organizações na Moldávia e Tunísia em julho de 2023.
A campanha descoberta pela Recorded Future ocorreu desde o início de outubro de 2023 e continuou até meados do mês com o objetivo de coletar informações sobre atividades políticas e militares europeias.
Os ataques se sobrepõem com atividades adicionais do TAG-70 contra servidores de email do governo do Uzbequistão que foram detectados em março de 2023.
"O TAG-70 demonstrou um alto nível de sofisticação em seus métodos de ataque", disse a empresa.
"Os atuantes cibernéticos utilizaram técnicas de engenharia social e exploraram vulnerabilidades de script em sites cruzados em servidores de webmail Roundcube para obter acesso não autorizado a servidores de email direcionados, contornando as defesas de organizações governamentais e militares."
As cadeias de ataques envolvem a exploração de falhas do Roundcube para entregar payloads de JavaScript projetadas para exfiltrar credenciais de usuário para um servidor de comando e controle (C2).
A Recorded Future disse que também encontrou evidências do TAG-70 visando as embaixadas iranianas na Rússia e nos Países Baixos, bem como a Embaixada da Geórgia na Suécia.
"O alvo das embaixadas iranianas na Rússia e nos Países Baixos sugere um interesse geopolítico mais amplo na avaliação das atividades diplomáticas do Irã, especialmente em relação ao seu apoio à Rússia na Ucrânia", disse.
"Da mesma forma, a espionagem contra entidades governamentais georgianas reflete interesses em monitorar as aspirações da Geórgia para a adesão à União Europeia (UE) e à OTAN."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...