Para peneliti telah mengamati TA473, aktor ancaman persisten tingkat lanjut (APT) baru yang dilacak oleh Proofpoint, mengeksploitasi kerentanan Zimbra CVE-2022-27926 untuk menyalahgunakan portal webmail yang dihosting Zimbra secara terbuka.
Tujuan kegiatan ini dinilai untuk mendapatkan akses ke email militer, pemerintah, dan organisasi diplomatik di seluruh Eropa yang terlibat dalam Perang Ukraina Rusia.
Grup menggunakan alat pemindaian seperti Acunetix untuk mengidentifikasi portal webmail yang belum ditambal milik organisasi ini untuk mengidentifikasi metode yang layak untuk menargetkan korban.
Setelah pengintaian pemindaian awal, pelaku ancaman mengirimkan email phishing yang mengaku sebagai sumber daya pemerintah jinak yang relevan, yang ditautkan di badan email dengan URL jahat yang menyalahgunakan kerentanan yang diketahui untuk mengeksekusi muatan JavaScript di dalam portal webmail korban.
Selanjutnya, pelaku ancaman tampaknya menghabiskan banyak waktu untuk mempelajari setiap contoh portal webmail milik target mereka serta menulis muatan JavaScript yang dipesan lebih dahulu untuk melakukan Pemalsuan Permintaan Lintas Situs.
Muatan khusus yang padat karya ini memungkinkan aktor untuk mencuri nama pengguna, kata sandi, dan menyimpan sesi aktif dan token CSRF dari cookie yang memfasilitasi login ke portal webmail yang menghadap publik milik organisasi yang selaras dengan NATO.
Peneliti Proofpoint baru-baru ini mempromosikan TA473 menjadi aktor ancaman yang dilacak secara publik. Dikenal dalam penelitian sumber terbuka sebagai Winter Vivern, Proofpoint telah melacak klaster aktivitas ini setidaknya sejak 2021.
Selengkapnya: proofpoint
