Proofpoint のセキュリティ専門家は、特に NATO 同盟国を標的とした新しいサイバー キャンペーンを発見しました。 Advanced Persistent Threat (APT) アクターである TA473 ハッカー グループは、現在のキャンペーンで「Zimbra の脆弱性」(CVE-2022-27926) と呼ばれる IT の脆弱性を利用しています。
彼らの攻撃の標的は、Zimbra がホストする一般にアクセス可能な Web メール ポータルです (Zimbra Collaboration Suite は電子メールおよびグループウェア ソリューションです)。 活動の一環として、攻撃者は、ヨーロッパの軍事、政府、外交組織からロシアとウクライナの戦争に関連する電子メールへのアクセスを取得しようとします。 APT グループ TA473 は、Winter Vivern または UAC-0114 としても知られています。
西部の標的に対する強力な攻撃
このグループは、Acunetix などのスキャン ツールを使用して、関連する組織が所有するパッチが適用されていない Web メール ポータルを特定し、アクセスする方法を見つけます。 最初のスキャンの後、攻撃者は、信頼できる政府機関になりすましてメール本文に悪意のある URL へのリンクを含むフィッシング メールを送信します。 これらの URL は、既知の脆弱性を悪用して、対象組織の Web メール ポータルで JavaScript を実行するように設計されています。
さらに、攻撃者は被害者の個々の Web メール ポータルを調査し、クロスサイト リクエスト フォージェリ (CSRF) 攻撃を実行するカスタム JavaScript ペイロードを作成するのに多くの時間を費やしているようです。 これらの労働集約的なカスタム調整されたペイロードにより、攻撃者はユーザー名とパスワードを盗み、アクティブなセッションと CSRF トークンを Cookie に保存して、公開されている NATO 組織の Web メール ポータルへのログインを容易にします。
APT グループ TA473 が何年にもわたって活動
「約473年間、TA2022の活動を追ってきました。 このグループの特徴は、粘り強さと高いコミットメントです」と、Proofpoint のセキュリティ研究者、Michael Raggi 氏はコメントしています。 「このグループは、ヨーロッパの軍人や外交官だけでなく、アメリカとヨーロッパの役人を絶えず標的にしています。 473 年末以降、TAXNUMX は欧州政府機関の Web メール ポータルの調査と、公開されているインフラストラクチャの脆弱性のスキャンに多くの時間を費やしてきました。 最終的に、彼らはロシアの対ウクライナ戦争に関係する政府関係者の電子メールにアクセスしたいと考えています。」
これがTA473の攻撃のしくみです
次のフィッシング戦術は、米国とヨーロッパの両方の標的で確認されており、資格情報の盗用、マルウェアの配布、およびクロスサイト リクエスト フォージェリ キャンペーンも同様です。
- TA473 は侵害された電子メール アドレスから電子メールを送信します。 多くの場合、これらの電子メールは、侵害時にパッチが適用されていないか安全でない WordPress がホストするドメインから送信されます。
- TA473 は、電子メールの送信者フィールドを偽装して、標的の組織のユーザーになりすます。
または、TA473 は電子メールの送信者フィールドを偽造して、世界政治で一般的に知られている組織を装います。
- TA473 は、電子メールの本文で、標的の組織または関連するパートナー組織の疑わしくない URL を使用します。
- 次に、TA473 は、この無害な URL を自身が制御または侵害するインフラストラクチャにリンクして、第 XNUMX 段階のペイロードを配信するか、資格情報の収集に使用されるランディング ページにリダイレクトします。
- TA473 は、多くの場合、ターゲットのハッシュ値、ターゲット組織への暗号化されていない参照、および場合によっては、元の電子メールでターゲットにリンクされている疑わしくない URL の暗号化またはプレーンテキスト バージョンを含む構造化された URL パスを使用します。
プルーフポイントについて Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。