Kimlik Avı Kampanyası, Rusya Bağlantılı Siber Casuslukla Bağlantılı

Araştırmacılar, Rusya veya Beyaz Rusya ile bariz bağları olan bir bilgisayar korsanlığı grubunun, birden fazla hükümetin e-posta sistemlerine erişmek için “basit ama etkili saldırı teknikleri ve araçları” kullandığı konusunda uyarıyor. Grubun son faaliyetlerinin büyük ölçüde Rusya’nın Ukrayna’yı işgalini destekleyen siber casusluk operasyonlarına odaklandığını söylüyorlar.

Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?

Proofpoint ve SentinelOne güvenlik şirketlerinden araştırmacıların bildirdiğine göre, grubun son hedefleri arasında ABD’nin seçilmiş yetkilileri ve çalışanları, Ukrayna ve İtalya dışişleri bakanlığı yetkilileri de dahil olmak üzere çok sayıda Avrupa hükümeti, ayrıca Hindistan hükümet yetkilileri ve Ukrayna’yı destekleyen özel telekomünikasyon şirketleri yer alıyor.

Saldırı grubunun en az geçen aydan beri aktif olan kampanyalarından biri, şu anda mevcut olan CVE-2022-27926 olarak belirlenmiş bir siteler arası komut dosyası çalıştırma güvenlik açığını düzeltmek için henüz yama uygulanmamış, halka açık, barındırılan Zimbra portallarını tarıyor. Zimbra İşbirliği sürüm 9.0, Proofpoint raporları.

Proofpoint araştırmacıları raporda, “Bu faaliyetin amacının, Rusya’nın işgalini püskürtmek için Ukrayna ile birlikte çalışan Avrupa’daki askeri, hükümet ve diplomatik kuruluşların e-postalarına erişim elde etmek olduğu değerlendiriliyor” diyor. Saldırganların her farklı hedef için önce keşif yürüttüğünü ve hedeflenen Zimbra portalının görünümünü ve hissini taklit etmek için tasarlanmış özelleştirilmiş JavaScript yükleri oluşturduğunu belirtiyorlar. Bu yükler daha sonra “ilgili iyi huylu hükümet kaynakları olduğu iddia edilen” e-postalarda sunulur.

2019 yılına kadar Zimbra Collaboration Suite olarak bilinen Zimbra Collaboration, Linux için bir üretkenlik paketi de dahil olmak üzere bir e-posta ve işbirliği yazılımıdır.

Geçen ay, Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi, Ukrayna’ya yönelik 2022 hack saldırılarına ilişkin değerlendirmesinde, saldırganların düzenli olarak yama uygulanmamış Zimbra sistemlerini hedef aldığını bildirdi.

SSSCIP’e göre, bazı durumlarda bilgisayar korsanları, adadan atlamalı saldırıların bir parçası olarak barındırılan Zimbra portallarını istismar ederek, bir kurbanlar zincirinden geçerek sonunda istedikleri hedeflere, devlet sistemleri veya bozmaya çalışacakları enerji sistemleri olabilir.

TA473, diğer adıyla UAC-0114, Kış Vivern’i

Proofpoint, son Zimbra kampanyasının arkasındaki tehdit aktörü grubuna TA473 olarak atıfta bulunurken, Ukrayna Bilgisayar Acil Müdahale Ekibi CERT-UA, grubu UAC-0114 olarak takip ediyor. Bazı güvenlik firmaları buna Winter Vivern diyor.

Proofpoint’te bir tehdit araştırmacısı olan Michael Raggi, “Bu aktör, Amerikalı ve Avrupalı ​​yetkililerin yanı sıra Avrupa’daki askeri ve diplomatik personeli hedef alma konusunda kararlıydı” dedi.

SentinelOne’da kıdemli bir tehdit araştırmacısı olan Tom Hegel yakın tarihli bir raporda, “kaynakları sınırlı ancak son derece yaratıcı grup”un, “basit ama etkili saldırı teknikleri ve araçları kullanarak” kurbanları toplama becerisiyle dikkate değer olmaya devam ettiğini söylüyor.

Grup ilk olarak Nisan 2021’de “Azerbaycan, Kıbrıs, Hindistan, İtalya, Litvanya, Ukrayna ve Vatikan”ı hedef alan kötü amaçlı belgeler kullanan bir kampanya tanımlayan DomainTools tarafından kamuoyuna açıklandı. Secure-daddy’de “wintervivern” adlı artık feshedilmiş bir dizine seslenen kötü amaçlı bir makroya dayanarak gruba “Winter Vivern” adını verdi.[.]Komut ve kontrol talimatlarını almak için com dosya barındırma hizmeti.

Bu ayın başlarında, SentinelOne’daki araştırmacılar, grubun 2021 ve 2022’nin büyük bir bölümünde sessiz – veya fark edilmeden – göründükten sonra, geçen yıl Ukrayna’yı hedef alan kampanyalarla yeniden ortaya çıktığını bildirdi.

Geçen ay, CERT-UA ve Polonyalı CERT, grubun hem Ukrayna Güvenlik Servisi hem de Polonya Polisinin web siteleri gibi görünecek şekilde tasarlanmış kimlik avı sitelerini kullanan saldırıların arkasında olduğu konusunda uyardı. “Haziran 2022’de Ukrayna Savunma Bakanlığı’nın posta portalını taklit eden benzer bir sahte web sayfası tespit edildi” dediler.

CERT-UA, saldırıların amacının, açık bir siber casusluk kampanyasının parçası olarak sistemlerde kalıcılık elde etmenin yanı sıra dosyaları dışarı sızdırmak gibi göründüğünü söyledi.

Son Derece Özelleştirilmiş Yükler

Güvenlik uzmanları, tehdit grubunun gösterişli olmayabileceğini ancak çok başarılı göründüğünü söylüyor. SentinelOne, “Hedefleri saldırıların içine çekme yetenekleri ve hükümetleri ve yüksek değerli özel işletmeleri hedeflemeleri, operasyonlarındaki karmaşıklık düzeyini ve stratejik amacı gösteriyor” diyor.

Kanıt noktası, Zimbra’da CVE-2022-27926’yı hedefleyen yeni tespit edilen kampanyanın, JavaScript saldırı yüklerinin her hedef için özelleştirildiğinden, geliştirilmesinin önemli miktarda zaman aldığını söylüyor. Araştırmacılar, “Bu emek-yoğun özelleştirilmiş yükler, aktörlerin kullanıcı adlarını, parolaları çalmasına ve çerezlerden etkin oturum ve CSRF belirteçlerini depolamasına olanak tanıyarak NATO ile uyumlu kuruluşlara ait halka açık web posta portallarında oturum açmayı kolaylaştırıyor” diyor.

Bir kimlik avı kampanyası yürütürken, grubun genellikle istismar edildiği meşru WordPress tarafından barındırılan alanlardan e-postalar gönderdiğini, ancak hedefe alakalı, akran bir kuruluştan geliyormuş gibi görünmesi için adresi taklit ettiğini söylüyorlar. E-postanın gövdesi genellikle, daha sonra bir indiriciyi kötü amaçlı yazılım yüklemeye iten veya kullanıcının kimlik bilgilerini toplamak için tasarlanmış bir siteye yönlendiren “aktör kontrollü veya güvenliği ihlal edilmiş altyapıya” bağlanan “iyi niyetli bir URL” içerir.

Proofpoint, TA473’ün en son kimlik avı kampanyasının, grubun daha önce Zimbra’da CVE-2021-35207 olarak adlandırılan ve Temmuz 2021’de yamalanan bir siteler arası komut dosyası çalıştırma güvenlik açığını hedeflemek için hazırladığı saldırılara büyük ölçüde benzer olduğunu söylüyor.