Proofpoint’teki siber güvenlik araştırmacıları, Winter Vivern, TA473 ve UAC-0114 olarak bilinen Rus APT grubunun yeni bir kimlik avı kampanyasını ifşa etti. Grup, farklı Avrupa ülkelerindeki devlet kurumlarının e-postalarını hacklemek için Zimbra Collaboration yazılımındaki bir güvenlik açığından yararlanıyor.
Bu APT grubunu hangi ulus devletin desteklediği henüz kanıtlanmamış olsa da güvenlik araştırmacıları, faaliyetlerinin Beyaz Rusya ve Rusya’nın çıkarlarıyla ittifak içinde olduğuna inanıyor.
Bilgin olsun, Zimbra Collaboration, kullanıcıların e-posta gönderip almasına ve kişileri, takvimleri ve görevleri yönetmesine olanak tanıyan bir iş birliği ve e-posta platformudur. Şirket içinde veya bulutta kullanılabilir ve hükümetler, eğitim kurumları, hizmet sağlayıcılar ve işletmeler tarafından kullanılır.
Grup Mağdurları Nasıl Hedefliyor?
Winter Vivern’in işleyiş biçimi, hedef kuruluşları veya onların ana kuruluşlarının hükümetle siyasi bağlantısı olan çalışanlarını taklit eden kimlik avı e-postaları göndermeyi gerektirir.
Bu e-postalar, güvenliği ihlal edilmiş etki alanlarına sahip e-posta kimliklerinden gönderilir veya savunmasız WordPress web sitelerinde barındırılır. E-posta iletisi, hedef kuruluşun resmi web sitesinin kaynağına bir bağlantı içerir.
Ancak bu, alıcıyı saldırganın etki alanında barındırılan bir yüke veya kimlik bilgilerini çalan bir web sayfasına yönlendirdiği için sahte bir bağlantıdır. Bu tekniğin etkinliği artık Zimbra’da bulunan bir siteler arası komut dosyası çalıştırma güvenlik açığı ile artırılmıştır.
APT Grubu Zimbra Güvenlik Açığı’ndan Yararlanıyor
Zimbra, web sitesine göre “140 ülkede yüz milyonlarca posta kutusu” tarafından kullanılan açık kaynaklı, şirket içi ve Bulut özellikli bir iş işbirliği ve e-posta platformudur. Hizmet, hükümetler, eğitim kurumları, hizmet sağlayıcılar ve küçük ve orta ölçekli işletmeler tarafından kullanılır.
Proofpoint araştırmacıları, Winter Vivern’in CVE-2022-27926 olarak izlenen ve Zimbra’nın bir yıl önce 9.0.0 Yama 24 sürümünde zaten yama yaptığı orta düzey Zimbra güvenlik açığını hedeflediğini belirtti. XSS açıkları, tehdit aktörlerinin, açıldığında tarayıcının içinde kötü amaçlı yazılım çalıştıran, eklenmiş kodla bağlantılar oluşturmasına izin verebilir.
İşleyiş Yöntemleri ve Muhtemel Tehlikeler
Mevcut kampanyada bilgisayar korsanları, savunmasız Zimbra kurulumları/web arayüzleri aracılığıyla devlet kurumlarını hedefliyor ve XSS kusurundan yararlanan ve kodlanmış JavaScript yürüten bağlantılarla kimlik avı e-postaları gönderiyor. Tarayıcı tarafından yürütüldüğünde, saldırganların sunucusundan daha büyük bir JavaScript yükü alınır ve siteler arası istek sahteciliği saldırısı olarak adlandırılan web sitesinde yürütülür.
Saldırganlar artık kurbanların kullanıcı adlarını, parolalarını ve bir tanımlama bilgisinden elde edilen etkin CSRF belirteçlerini çalabilir ve bilgileri sunucularına aktarabilir. Oturum açma kimlik bilgilerini ve belirteçlerini aldıktan sonra, kötü amaçlı JavaScript, e-posta portalını ele geçirmek için sabit kodlanmış URL’ler kullanır.
“Bazı durumlarda araştırmacılar, TA473’ün özellikle RoundCube web posta istek belirteçlerini de hedef aldığını gözlemledi. Proofpoint’in raporunda, hangi web posta portalının hedeflenen Avrupa devlet kurumları tarafından yürütüldüğüne ilişkin bu ayrıntılı odaklanma, TA473’ün kuruluşlara kimlik avı e-postaları göndermeden önce yürüttüğü keşif düzeyini gösteriyor.
Proofpoint, “Bu emek yoğun özelleştirilmiş yükler, aktörlerin kullanıcı adlarını, parolaları çalmasına ve tanımlama bilgilerinden etkin oturum ve CSRF belirteçlerini depolamasına izin vererek, NATO ile uyumlu kuruluşlara ait halka açık web posta portallarında oturum açmayı kolaylaştırıyor” dedi.
Kimler Savunmasız?
Geçen yıl Zimbra ürünlerini yamalamayan kuruluşlar, TA473 saldırılarına karşı savunmasızdır. Bu tür saldırıları önlemek için, halka açık web posta portallarındaki kaynakları kısıtlamak önemlidir. Bu, APT gruplarının kimlik bilgilerini çalabilecek ve kurbanın web posta hesaplarında oturum açabilecek özelleştirilmiş komut dosyaları tasarlamasını engelleyecektir.
Winter Vivern’in Geçmişteki Kurbanları
Grubun geçmişteki kurbanları Hindistan, Vietnam, Litvanya, Slovakya ve Vatikan’da bulunuyordu. Sentinel Labs, Mart ayının başlarında, grubun son hedefleri arasında İtalya ve Ukrayna Dışişleri bakanlıkları, Polonya hükümet kurumları, Hindistan hükümet yetkilileri ve Ukrayna’yı savaşta destekleyen telekomünikasyon şirketlerinin yer aldığını bildirdi.
Proofpoint’in önceki araştırmasına göre, bu grup ABD’deki seçilmiş hükümet temsilcilerini ve onların çalışanlarını hedef aldı.
ALAKALI HABERLER
- Portekiz’e Siber Saldırıda NATO Verileri Çalındı
- NATO askerlerinin akıllı telefonları Rusya tarafından hacklendi
- NATO, AB onaylı güvenlik duvarında güvenlik açığı bulundu
- NATO, En İyi Füze Firması MBDA Veri İhlalini Araştırıyor
- Ruslar, Graphite kötü amaçlı yazılımını PowerPoint dosyalarında saklıyor