Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), tehdit aktörlerinin Zimbra Collaboration Suite tarafından barındırılan web posta portallarındaki bir güvenlik açığından yararlandığını doğruladı.
Onay, siber güvenlik firması Proofpoint’in Rusya yanlısı bir gelişmiş kalıcı tehdit (APT) aktörü olan TA473’ün halka açık web posta portallarında yama uygulanmamış Zimbra güvenlik açıklarını kullandığını ve bu kuruluşların bu kuruluşların e-posta posta kutularına erişmesini sağladığını bildirmesinden günler sonra geldi.
CVE-2022-27926 kod adlı Zimbra Collaboration Suite (ZCS) siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı, Proofpoint’teki araştırmacılar tarafından bulunan ve halka açık web posta portallarını barındırmak için kullanılan Zimbra Collaboration sürüm 9.0.0’ı etkiler.
Araştırmacılara göre TA473, e-postanın gövdesinde kötü amaçlı URL’lerle köprülenmiş, zararsız devlet kaynakları olduğu iddia edilen kimlik avı e-postalarını teslim etmeden önce bu kuruluşlara ait yama uygulanmamış web posta portallarını belirlemek için tarama araçlarını kullandı.
Grup, hedeflerine ait her bir web posta portalı örneğini incelemek ve Siteler Arası İstek Sahtekarlığı (CSRF) gerçekleştirmek için ısmarlama JavaScript yükleri yazmak için önemli ölçüde zaman harcıyor gibi görünüyor.
Proofpoint ve Sentinel One’daki araştırmacılar, TA473’ün hedeflemesinin, Rusya-Ukrayna Savaşı ile ilgili oldukları için Rusya veya Beyaz Rusya’nın jeopolitik hedeflerinin desteklenmesiyle yüzeysel olarak uyumlu olduğunu gözlemlediler.
CVE-2022-27926, TA473 ve Zimbra İşbirliği Paketi
Proofpoint raporu, “2023’ün başlarından başlayarak, Proofpoint, CVE-2022-27926’dan yararlanan Avrupa devlet kurumlarını hedef alan TA473 kimlik avı kampanyalarında bir eğilim gözlemledi” dedi.
Araştırma raporu, güvenlik açığını “Zimbra Collaboration (aka ZCS) 9.0’ın /public/launchNewWindow.jsp bileşenindeki (ki bu) kimliği doğrulanmamış saldırganların istek yoluyla rasgele web komut dosyası veya HTML yürütmesine olanak tanıyan, yansıyan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı” olarak tanımladı. parametreler.”
TA473 tarafından gerçekleştirilen kimlik avı kampanyaları, kimlik avı e-postasının gövdesindeki zararsız bir URL’ye CVE-2022-27926’dan yararlanan bir URL ile köprü oluşturur.
Kötü amaçlı URL, savunmasız bir Zimbra Collaboration Suite örneğine sahip olan web posta etki alanını kullanır ve ilk web isteğinde alındığında bir hata parametresi olarak yürütülen rastgele bir onaltılık kodlanmış veya düz metin JavaScript snippet’i ekler.
JavaScript’in kodu çözüldükten sonra, kullanıcıdan kullanıcı adlarını, parolaları ve CSRF belirteçlerini yakalamak için siteler arası istek sahteciliği (CSRF) gerçekleştiren bir sonraki aşamada ısmarlama bir JavaScript yükünün indirilmesiyle sonuçlanır.
“Bu güvenlik açığından yararlanma, pratikte Zimbra İşbirliği sürümlerinin daha geniş bir kesitini etkileyen ve özellikle bir web posta oturum açma URL’sinin loginErrorCode parametresine yürütülebilir JavaScript eklemeyi içeren CVE-2021-35207’nin kullanılmasına çok benzer” dedi. rapor.
Ancak bu istismarın farklı ve CVE-2022-27926 ile sınırlı olduğuna inanılıyor.
Kimlik avı kampanyaları, TA473’ün bazı durumlarda özellikle RoundCube web posta istek belirteçlerini hedef almasıyla yüksek düzeyde hedeflenir.
Rapora göre, TA473 tarafından kuruluşlara kimlik avı e-postaları teslim edilmeden önce gerçekleştirilen bu keşif düzeyi, hedeflenen Avrupa devlet kurumları tarafından hangi web posta portalının yürütüldüğüne ayrıntılı olarak odaklanıldığını gösteriyor.
TA473 namı diğer Winter Vivern ve Rus bağları
DomainTools, Lab52, Sentinel One ve Ukraynalı CERT gibi güvenlik sağlayıcıları, TA473’ü Winter Vivern ve UAC-0114 olarak adlandırır.
TA473, geçmişte hem PowerShell hem de JavaScript yüklerini sunmak için kimlik avı kampanyalarından yararlanır ve kimlik avı e-postalarını kullanarak yinelenen kimlik bilgileri toplama kampanyaları yürütür.
TA473, Mart ayının başlarında, bir Sentinel One analizinin operasyon modunun Rus veya Beyaz Rusya’nın jeopolitik hedefleriyle yüzeysel olarak uyumlu olduğunu belirttiği zaman siber güvenlik haberlerinde birdenbire ortaya çıktı.
Grupla ilgili Ukraynalı CERT uyarısı, “Rusça konuşan aktörlerin grubun üyeleri arasında olması büyük olasılıkla, çünkü önceki örneklerden biri tamamen Rusça ‘Aperitivchick’ ifadesiyle PDB içeriyor” dedi.
TA473, tarihsel olarak Avrupa devlet kurumlarını hedef almış olsa da, Proofpoint araştırması, grubun son zamanlarda Amerika Birleşik Devletleri’ndeki seçilmiş yetkilileri ve çalışanları hedef aldığını gözlemlediğini doğruladı.
Proofpoint raporu, “Kimlik avı taktikleri, hem ABD hem de Avrupa hedeflerinin yanı sıra kimlik bilgileri toplama, kötü amaçlı yazılım teslimi ve siteler arası istek sahteciliği (CSRF) kampanyalarında tutarlı bir şekilde gözlemlendi” dedi.
SentinelOne, Winter Vivern’in siber saldırılarını gerçekleştirmek için kamuya açık gerçek hükümet belgelerinden oluşturulan veya belirli temalara göre uyarlanmış kötü amaçlı belgelerin kullanılması gibi çeşitli taktikler kullandığı gözlemlendi.
Grup, kötü amaçlı indirmeleri dağıtmak için yakın zamanda devlet alan adlarını taklit eden yeni bir yem tekniğini benimsedi.
Kötü Amaçlı Sayfa Taklidi cbzc.policja.gov.pl
2023’ün başlarında Winter Vivern, Polonya’nın Siber Suçlarla Mücadele Merkez Bürosu, Ukrayna Dışişleri Bakanlığı ve Ukrayna Güvenlik Servisi dahil olmak üzere meşru kuruluşların sayfalarına çok benzeyen tek bir kötü amaçlı alanda ayrı sayfalar oluşturarak belirli hükümet web sitelerini hedef aldı.
email.gov.in Giriş sayfası
Winter Vivern, devlet alanlarını taklit etmenin yanı sıra, 2022’nin ortalarında gözlemlenen devlet e-posta kimlik bilgileri kimlik avı web sayfalarını da kullandı. Örneğin, ocspdep[.]com, Hindistan hükümetinin meşru e-posta hizmeti email.gov.in kullanıcılarını hedeflemek için kullanıldı.