Cybergroep richt zich op Europese overheidsfunctionarissen met phishingaanvallen

Onderzoekers van Proofpoint hebben een groep cybercriminelen ontdekt genaamd TA473, ook wel bekend als Winter Vivern. Deze groep richt zich op militaire, overheids- en diplomatieke bedrijven in Europa die betrokken zijn bij de Russisch-Oekraïense oorlog. Ze maken gebruik van een kwetsbaarheid in Zimbra software om ongepatchte webmail portals te vinden die bij deze bedrijven horen en versturen phishing e-mails met besmette URL's. Zo maken ze misbruik van de kwetsbaarheid. De criminelen besteden veel tijd aan het bestuderen van elke webmailportal om Cross Site Request Forgery(CSRF) uit te voeren en zo gebruikersnamen, wachtwoorden, actieve sessies en CSRF-tokens te stelen van cookies. Op deze manier kunnen ze inloggen op openbaar toegankelijke webmailportals van organisaties die aangesloten zijn bij de NAVO.

"We hebben TA473's activiteiten al ongeveer twee jaar gevolgd en met name hun vastberadenheid is opvallend", aldus Michael Raggi, Threat Researcher bij Proofpoint. "Deze groep richt zich op Amerikaanse en Europese functionarissen, evenals militair en diplomatiek personeel in Europa. Sinds eind 2022 hebben ze veel tijd besteed aan het bestuderen van de webmailportals van Europese overheidsinstanties en het scannen van publiekelijk toegankelijke infrastructuur op kwetsbaarheden. Het doel hiervan is om toegang te krijgen tot de e-mails van degenen die nauw betrokken zijn bij overheidszaken en de Russisch-Oekraïense oorlog."

Over TA473

TA473, is een groep cybercriminelen die phishingaanvallen gebruikt om kwaadaardige software te verspreiden en gevoelige informatie te stelen via phishing-e-mails. Sinds 2021 richt de groep zich vooral op Europese overheden, militaire instanties en diplomaten. Maar in 2022 hebben ze ook geprobeerd Amerikaanse politici en werknemers te misleiden met phishing-e-mails. Sinds de oorlog tussen Rusland en Oekraïne zien de onderzoekers van Proofpoint een patroon in de doelwitten, de neppe profielen en bedrijven die de groep inzet. Meestal zijn de slachtoffers experts op het gebied van Europese politiek of economie in regio's die getroffen worden door de oorlog en hebben de neppe bedrijven en lokmiddelen te maken met Oekraïne en het conflict daar.

Hoe ziet een aanval van TA473 eruit?

Proofpoint heeft opgemerkt dat TA473 sinds 2021 veranderingen heeft aangebracht in hun aanvalsmethoden. Hoewel ze soms gebruik maken van populaire kwetsbaarheden zoals "Follina", zijn hun phishingmethoden meestal hetzelfde bij elke aanval. Deze cybercriminelen hebben een vast aanvalspatroon, waarbij ze verschillende technieken gebruiken om hun doelwitten, zowel Amerikaanse als Europese, te treffen. Ze proberen inloggegevens te verzamelen, schadelijke software te installeren en CSRF-aanvallen uit te voeren.

TA473 stuurt e-mails van e-mailadressen die zijn overgenomen door cybercriminelen. Deze e-mails komen vaak van domeinen die worden gehost door WordPress. Op het moment dat de criminelen toegang krijgen tot het domein, zijn deze nog niet voorzien van de laatste beveiligingsupdates of patches.

TA473 probeert de e-mails eruit te laten zien alsof ze van iemand binnen het bedrijf komen dat het doelwit is, of van een bedrijf dat betrokken is bij wereldwijde politiek. Dit doen ze om de ontvangers te misleiden en te laten denken dat de e-mail legitiem is.

TA473 voegt een veilig uitziende link toe aan de e-mail die lijkt te komen van de organisatie die ze willen aanvallen of van een relevante organisatie in de wereldpolitiek.

Na het toevoegen van deze URL aan de e-mail, gebruikt TA473 een geïnfecteerde infrastructuur om de ontvanger door te sturen naar een website waar kwaadaardige code wordt geïnstalleerd of waar inloggegevens worden verzameld.

TA473 gebruikt vaak speciale paden voor Uniform Resource Identifiers (URI) die informatie bevatten over de persoon die het doelwit is (deze informatie is gehasht), de organisatie waartoe deze persoon behoort en soms gecodeerde of niet-gecodeerde versies van de onschadelijke URL die in de oorspronkelijke e-mail naar de doelwitten zijn gestuurd. Dit wordt gedaan om de aanval te personaliseren en af te stemmen op het doelwit.

TA473 gebruikt een vastberaden en gerichte aanpak om kwetsbaarheden te vinden en te exploiteren in ongepatchte systemen. Door intensief onderzoek en het bestuderen van publieke webmailportals kunnen ze hun aanvalsscripts aanpassen aan specifieke doelen, waardoor hun aanvallen zeer effectief zijn. Proofpoint onderzoekers raden aan om alle versies van Zimbra Collaboration te patchen en de toegang te beperken om te voorkomen dat aangepaste scripts worden gebruikt om inloggegevens te stelen. Hoewel TA473 misschien niet de meest geavanceerde cybergroep is die zich richt op Europa, blijft hun focus, volharding en herhaalbare proces om geopolitieke doelen te compromitteren een aanhoudende dreiging het hele jaar door.