Hacker Winter Vivern khai thác lỗ hổng Zimbra để đánh cắp email của NATO

Một nhóm tin tặc Nga có tên TA473, hay còn gọi là 'Winter Vivern', đã tích cực khai thác các lỗ hổng trong các điểm cuối Zimbra chưa được vá kể từ tháng 2 năm 2023 để đánh cắp email của các quan chức NATO, chính phủ, quân nhân và nhà ngoại giao.

Hacker Winter Vivern khai thác lỗ hổng Zimbra để đánh cắp email của NATO.

Hai tuần trước, Sentinel Labs đã báo cáo  về một hoạt động gần đây của 'Winter Vivern' sử dụng các trang web bắt chước các cơ quan châu Âu chống tội phạm mạng để phát tán phần mềm độc hại giả vờ là một trình quét vi-rút.

Hôm nay, Proofpoint  đã xuất bản một báo cáo mới về cách kẻ đe dọa khai thác CVE-2022-27926 trên các máy chủ Cộng tác Zimbra để truy cập thông tin liên lạc của các tổ chức và cá nhân liên kết với NATO.

Nhắm mục tiêu Zimbra

Các cuộc tấn công Winter Vivern bắt đầu bằng việc tác nhân đe dọa quét các nền tảng webmail chưa được vá bằng trình quét lỗ hổng công cụ Acunetix.

Tiếp theo, tin tặc gửi một email lừa đảo từ một địa chỉ bị xâm phạm, địa chỉ này được giả mạo là một người mà mục tiêu quen thuộc hoặc bằng cách nào đó có liên quan đến tổ chức của họ.

Email được gửi bởi Winter Vivern.

Các email chứa liên kết khai thác CVE-2022-27926 trong cơ sở hạ tầng Zimbra bị xâm nhập của mục tiêu để đưa các tải trọng JavaScript khác vào trang web.

Những tải trọng này sau đó được sử dụng để đánh cắp tên người dùng, mật khẩu và mã thông báo từ các cookie nhận được từ điểm cuối Zimbra bị xâm phạm. Thông tin này cho phép các tác nhân đe dọa truy cập tự do vào tài khoản email của mục tiêu.

Chuỗi tấn công hoàn chỉnh.

“Các khối mã JavaScript CSRF này được thực thi bởi máy chủ lưu trữ phiên bản webmail dễ bị tổn thương,” Proofpoint giải thích trong báo cáo

"Hơn nữa, JavaScript này sao chép và dựa vào việc mô phỏng JavaScript của cổng webmail gốc để trả về các chi tiết yêu cầu web chính cho biết tên người dùng, mật khẩu và mã thông báo CSRF của các mục tiêu."

"Trong một số trường hợp, các nhà nghiên cứu đã quan sát thấy TA473 cũng nhắm mục tiêu cụ thể đến mã thông báo yêu cầu thư trực tuyến RoundCube."

Chi tiết này thể hiện sự siêng năng của các tác nhân đe dọa trong quá trình do thám trước khi tấn công, tìm ra cổng thông tin mà mục tiêu của chúng sử dụng trước khi tạo email lừa đảo và thiết lập chức năng trang đích.

Ngoài ba lớp che giấu base64 được áp dụng trên JavaScript độc hại để làm cho việc phân tích trở nên phức tạp hơn, 'Winter Vivern' còn bao gồm các phần của JavaScript hợp pháp chạy trong cổng webmail gốc, kết hợp với các hoạt động thông thường và giảm khả năng bị phát hiện.

JavaScript bị xáo trộn.

Cuối cùng, các tác nhân đe dọa có thể truy cập thông tin nhạy cảm trên các webmail bị xâm nhập hoặc duy trì việc nắm giữ chúng để theo dõi thông tin liên lạc trong một khoảng thời gian. Ngoài ra, tin tặc có thể sử dụng các tài khoản bị vi phạm để thực hiện các cuộc tấn công lừa đảo bên ngoài và tiếp tục xâm nhập vào các tổ chức mục tiêu.

Mặc dù các nhà nghiên cứu nói rằng 'Winter Vivern' không đặc biệt tinh vi, nhưng họ tuân theo một phương pháp hoạt động hiệu quả, hoạt động ngay cả với các mục tiêu nổi tiếng không áp dụng các bản vá phần mềm đủ nhanh.
Trong trường hợp này, CVE-2022-27926 đã được sửa trong Zimbra Collaboration 9.0.0 P24, phát hành vào tháng 4 năm 2022. 

Xét rằng các cuộc tấn công sớm nhất đã được quan sát thấy vào tháng 2 năm 2023, nên thời gian áp dụng bản cập nhật bảo mật bị chậm trễ ít nhất là mười tháng.

Kiều Oanh (T/h)