Bedreigingsactoren die opereren met belangen die aansluiten bij Wit-Rusland en Rusland zijn in verband gebracht met een nieuwe cyberspionagecampagne die waarschijnlijk misbruik maakte van cross-site scripting (XSS)-kwetsbaarheden in Roundcube-webmailservers om zich op meer dan 80 organisaties te richten.
Deze entiteiten bevinden zich voornamelijk in Georgië, Polen en Oekraïne, volgens Recorded Future, die de inbraak toeschreef aan een dreigingsactor die bekend staat als Winter Vivern, ook bekend als TA473 en UAC0114. Het cyberbeveiligingsbedrijf volgt de hackers onder de naam Threat Activity Group 70 (TAG-70).
Winter Viverns misbruik van beveiligingsfouten in Roundcube en software werd eerder in oktober 2023 door ESET benadrukt, en sloot zich aan bij andere aan Rusland gelinkte groepen van bedreigingsactoren zoals APT28, APT29 en Sandworm waarvan bekend is dat ze zich op e-mailsoftware richten.
De tegenstander, die in ieder geval sinds december 2020 actief is, wordt vorig jaar ook in verband gebracht met het misbruik van een inmiddels gepatchte kwetsbaarheid in de e-mailsoftware van Zimbra Collaboration om in juli 2023 organisaties in Moldavië en Tunesië te infiltreren.
De door Recorded Future ontdekte campagne vond plaats vanaf begin oktober 2023 en duurde tot halverwege de maand met als doel inlichtingen te verzamelen over Europese politieke en militaire activiteiten. De aanvallen overlappen met aanvullende TAG-70-activiteit tegen mailservers van de Oezbeekse overheid die in maart 2023 werden gedetecteerd.
“TAG70 heeft een hoog niveau van verfijning getoond in zijn aanvalsmethoden”, aldus het bedrijf. “De bedreigingsactoren maakten gebruik van social engineering-technieken en maakten misbruik van cross-site scripting-kwetsbaarheden in Roundcube-webmailservers om ongeoorloofde toegang te verkrijgen tot gerichte mailservers, waarbij ze de verdediging van overheids- en militaire organisaties omzeilden.”
Bij de aanvalsketens wordt gebruik gemaakt van Roundcube-fouten om JavaScript-payloads te leveren die zijn ontworpen om gebruikersreferenties naar een command-and-control (C2)-server te exfiltreren.
Recorded Future zei dat het ook bewijs heeft gevonden dat TAG-70 zich richtte op de Iraanse ambassades in Rusland en Nederland, evenals op de Georgische ambassade in Zweden.
“Het aanvallen op Iraanse ambassades in Rusland en Nederland suggereert een breder geopolitiek belang bij het beoordelen van de diplomatieke activiteiten van Iran, vooral met betrekking tot zijn steun aan Rusland in Oekraïne”, aldus het rapport.
“Op dezelfde manier weerspiegelt spionage tegen Georgische overheidsinstanties de belangen bij het monitoren van de Georgische aspiraties voor toetreding tot de Europese Unie (EU) en de NAVO.”
