近日,与白俄罗斯和俄罗斯利益一致的威胁行为者与一场新的网络间谍活动有关,该活动可能利用Roundcube网络邮件服务器中的跨站点脚本(XSS)漏洞,以80多个组织为目标。
据Recorded Future称,这些实体主要位于格鲁吉亚、波兰和乌克兰,该公司将入侵事件归因于一个名为Winter Vivern的威胁行为者,也被称为TA473和UAC0114。这家网络安全公司正在追踪这家名为“威胁活动组70”(TAG-70)的黑客组织。
Winter Vivern利用Roundcube和软件中的安全漏洞的行为此前曾在2023年10月被ESET强调,加入了APT28、APT29和Sandworm等其他与俄罗斯有关的威胁行为者团体,这些团体以电子邮件软件为目标。
该对手至少自2020年12月以来一直活跃,还与去年Zimbra Collaboration电子邮件软件中一个现已修补的漏洞被滥用,于2023年7月渗透到摩尔多瓦和突尼斯的组织有关。
Recorded Future发现的这场运动从2023年10月初开始,一直持续到本月中旬,目的是收集有关欧洲政治和军事活动的情报。这些攻击与2023年3月发现的针对乌兹别克斯坦政府邮件服务器的TAG-70活动重叠。
该公司表示:“TAG70在攻击方法上表现出了高度的先进性。威胁行为者利用社会工程技术,利用Roundcube网络邮件服务器中的跨站点脚本漏洞,绕过政府和军事组织的防御,获得对目标邮件服务器的未经授权的访问。”
攻击链涉及利用Roundcube缺陷向命令和控制(C2)服务器提供JavaScript有效载荷,这些有效载荷旨在过滤用户凭据。
Recorded Future表示,TAG-70瞄准伊朗驻俄罗斯和荷兰大使馆以及格鲁吉亚驻瑞典大使馆的证据。
报告称:“伊朗驻俄罗斯和荷兰大使馆的袭击表明,评估伊朗的外交活动,特别是在乌克兰对俄罗斯的支持方面,有着更广泛的地缘政治利益。同样,针对格鲁吉亚政府实体的间谍活动反映了格鲁吉亚对加入欧盟和北约的愿望的关注。”
转自E安全,原文链接:https://mp.weixin.qq.com/s/eIv3gX9vH-GAqQDTDD97Ug
封面来源于网络,如有侵权请联系删除