🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Winter Vivern APT nhắm mục tiêu các tổ chức chính phủ châu Âu bằng lỗ hổng Zimbra

01/04/2023

Nhóm đe dọa APT Winter Vivern (TA473) hiện đang nhắm mục tiêu vào các quan chức ở Châu Âu và Mỹ trong một chiến dịch gián điệp mạng đang diễn ra.

Proofpoint cho biết “TA473 kể từ ít nhất là tháng 2 năm 2023 đã liên tục lạm dụng các lỗ hổng Zimbra chưa được vá trong các trang webmail trực tuyến công khai, cho phép chúng có quyền truy cập vào hộp thư email của các cơ quan chính phủ ở Châu Âu”.

TA473 (còn gọi là UAC-0114) được mô tả như một nhóm tấn công có hoạt động phù hợp với các mục tiêu địa chính trị của Nga và Belarus.

Trong những tháng gần đây, nhóm này có liên quan đến các cuộc tấn công nhắm vào các cơ quan nhà nước của Ukraine và Ba Lan cũng như các quan chức chính phủ ở Ấn Độ, Litva, Slovakia và Vatican.

Các cuộc xâm nhập liên quan đến NATO kéo theo việc khai thác CVE-2022-27926 (điểm CVSS: 6.1), một lỗ hổng bảo mật mức trung bình hiện đã được vá trong Zimbra Collaboration có thể cho phép kẻ tấn công thực thi mã JavaScript hoặc HTML tùy ý mà không cần xác thực.

Ngoài ra, chiến dịch cũng liên quan đến việc sử dụng các công cụ quét (scan) như Acunetix để xác định các trang chưa được vá lỗ hổng với mục tiêu gửi email lừa đảo có chứa liên kết đến các trang web độc hại.

Lỗ hổng này khai thác lỗi cross-site scripting (XSS) trong Zimbra để thực thi các payload JavaScript độc hại trong trang webmail của nạn nhân để lấy cắp tên người dùng, mật khẩu và mã token truy cập.

Điều đáng chú ý là mỗi payload được điều chỉnh cho phù hợp với trang webmail được nhắm mục tiêu, cho thấy kẻ tấn công sẵn sàng đầu tư thời gian và tài nguyên để giảm khả năng bị phát hiện.

Proofpoint cho biết “cách tiếp cận của TA473 để quét và khai thác các lỗ hổng chưa được vá trong các trang webmail công khai là yếu tố chính dẫn đến sự thành công của chúng”.

Sự việc này một lần nữa nhấn mạnh việc các cơ quan, tổ chức cần phải nhanh chóng triển khai các bản vá bảo mật cho các ứng dụng của mình, đặc biệt là đối với các ứng dụng tiếp xúc trực tiếp với internet.

Nguồn: thehackernews.com

scrolltop