APT: TA473 が NATO の同盟国、当局者、組織を攻撃

7. 2023。 April XNUMX 4月XNUMX
| コメントはありません
B2B サイバー セキュリティ ショート ニュース

投稿を共有する

Proofpoint のセキュリティ専門家は、特に NATO 同盟国を標的とした新しいサイバー キャンペーンを発見しました。 Advanced Persistent Threat (APT) アクターである TA473 ハッカー グループは、現在のキャンペーンで「Zimbra の脆弱性」(CVE-2022-27926) と呼ばれる IT の脆弱性を利用しています。

彼らの攻撃の標的は、Zimbra がホストする一般にアクセス可能な Web メール ポータルです (Zimbra Collaboration Suite は電子メールおよびグループウェア ソリューションです)。 活動の一環として、攻撃者は、ヨーロッパの軍事、政府、外交組織からロシアとウクライナの戦争に関連する電子メールへのアクセスを取得しようとします。 APT グループ TA473 は、Winter Vivern または UAC-0114 としても知られています。

西部の標的に対する強力な攻撃

このグループは、Acunetix などのスキャン ツールを使用して、関連する組織が所有するパッチが適用されていない Web メール ポータルを特定し、アクセスする方法を見つけます。 最初のスキャンの後、攻撃者は、信頼できる政府機関になりすましてメール本文に悪意のある URL へのリンクを含むフィッシング メールを送信します。 これらの URL は、既知の脆弱性を悪用して、対象組織の Web メール ポータルで JavaScript を実行するように設計されています。

さらに、攻撃者は被害者の個々の Web メール ポータルを調査し、クロスサイト リクエスト フォージェリ (CSRF) 攻撃を実行するカスタム JavaScript ペイロードを作成するのに多くの時間を費やしているようです。 これらの労働集約的なカスタム調整されたペイロードにより、攻撃者はユーザー名とパスワードを盗み、アクティブなセッションと CSRF トークンを Cookie に保存して、公開されている NATO 組織の Web メール ポータルへのログインを容易にします。

APT グループ TA473 が何年にもわたって活動

「約473年間、TA2022の活動を追ってきました。 このグループの特徴は、粘り強さと高いコミットメントです」と、Proofpoint のセキュリティ研究者、Michael Raggi 氏はコメントしています。 「このグループは、ヨーロッパの軍人や外交官だけでなく、アメリカとヨーロッパの役人を絶えず標的にしています。 473 年末以降、TAXNUMX は欧州政府機関の Web メール ポータルの調査と、公開されているインフラストラクチャの脆弱性のスキャンに多くの時間を費やしてきました。 最終的に、彼らはロシアの対ウクライナ戦争に関係する政府関係者の電子メールにアクセスしたいと考えています。」

これがTA473の攻撃のしくみです

🔎 攻撃者が制御するリソースにリダイレクトする URL を含む TA473 メール (画像: Proofpoint)。

次のフィッシング戦術は、米国とヨーロッパの両方の標的で確認されており、資格情報の盗用、マルウェアの配布、およびクロスサイト リクエスト フォージェリ キャンペーンも同様です。

  • TA473 は侵害された電子メール アドレスから電子メールを送信します。 多くの場合、これらの電子メールは、侵害時にパッチが適用されていないか安全でない WordPress がホストするドメインから送信されます。
  • TA473 は、電子メールの送信者フィールドを偽装して、標的の組織のユーザーになりすます。

または、TA473 は電子メールの送信者フィールドを偽造して、世界政治で一般的に知られている組織を装います。

  • TA473 は、電子メールの本文で、標的の組織または関連するパートナー組織の疑わしくない URL を使用します。
  • 次に、TA473 は、この無害な URL を自身が制御または侵害するインフラストラクチャにリンクして、第 XNUMX 段階のペイロードを配信するか、資格情報の収集に使用されるランディング ページにリダイレクトします。
  • TA473 は、多くの場合、ターゲットのハッシュ値、ターゲット組織への暗号化されていない参照、および場合によっては、元の電子メールでターゲットにリンクされている疑わしくない URL の暗号化またはプレーンテキスト バージョンを含む構造化された URL パスを使用します。
詳細は Proofpoint.com をご覧ください

 

プルーフポイントについて

Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。

 

トピックに関連する記事

レポート: 世界中でフィッシングが 40% 増加

カスペルスキーの 2023 年のスパムとフィッシングに関する現在のレポートがすべてを物語っています。ドイツのユーザーは次のようなことを求めています。 ➡続きを読む

BSI が Web ブラウザの最低基準を設定

BSI は管理用 Web ブラウザの最低標準を改訂し、バージョン 3.0 を公開しました。それを思い出すことができます ➡続きを読む

欧州企業を狙うステルスマルウェア

ハッカーはステルスマルウェアを使ってヨーロッパ中の多くの企業を攻撃しています。 ESETの研究者は、いわゆるAceCryptor攻撃が劇的に増加していることを報告しました。 ➡続きを読む

IT セキュリティ: LockBit 4.0 の基礎の解除

トレンドマイクロは英国国家犯罪庁(NCA)と協力し、開発中の未公開バージョンを分析した。 ➡続きを読む

Google Workspace 経由の MDR と XDR

カフェ、空港ターミナル、ホームオフィスなど、従業員はさまざまな場所で働いています。ただし、この開発には課題も伴います ➡続きを読む

テスト: エンドポイントおよび個々の PC 用のセキュリティ ソフトウェア

AV-TEST ラボからの最新のテスト結果は、Windows 向けの 16 の確立された保護ソリューションの非常に優れたパフォーマンスを示しています。 ➡続きを読む

FBI:インターネット犯罪報告書、被害額は12,5億ドルと集計 

FBI のインターネット犯罪苦情センター (IC3) は、2023 万人以上からの情報を含む 880.000 年のインターネット犯罪報告書を発表しました。 ➡続きを読む

HeadCrab 2.0 を発見

Redis サーバーに対する HeadCrab キャンペーンは 2021 年から活動を続けており、引き続き新しいバージョンのターゲットへの感染に成功しています。犯罪者のミニブログ ➡続きを読む

ショートニュース
, , , , ,