Así ataca el grupo de ciberespías Winter Vivern a los gobiernos de países alineados con la OTAN
- Actualidad
El grupo Winter Vivern, también conocido como TA473, ha sido tenaz en sus ataques contra funcionarios estadounidenses y europeos, así como contra personal militar y diplomático en Europa en los últimos dos años, tiempo que lleva siguiendo su actividad la firma de ciberseguridad Proofpoint. Según sus expertos, desde finales de 2022, ha dedicado esfuerzos a estudiar los portales de correo electrónico de las entidades gubernamentales europeas y escanear la infraestructura pública en busca de vulnerabilidades.
La compañía ha observado actividad reciente del grupo de ciberdelincuentes TA473, conocido públicamente como "Winter Vivern", que se dedica al espionaje de organizaciones militares, gubernamentales y diplomáticas alineadas con la OTAN e implicadas en la guerra entre Rusia y Ucrania.
El TA473 realiza campañas de phishing para entregar payloads de PowerShell y JavaScript, así como campañas recurrentes de recolección de credenciales. Según la investigación de Proofpoint, estos ciberdelincuentes tienen a organizaciones europeas como objetivo desde 2021, pero no es hasta finales del año pasado cuando empiezan a dirigirse también a funcionarios de Estados Unidos. Sin embargo, el inicio de la guerra en Ucrania provoca que se centren en objetivos que son expertos en aspectos de la política o la economía europeas relacionados con las regiones afectadas. Cabe destacar que tanto los señuelos de ingeniería social como las organizaciones suplantadas suelen referirse a Ucrania en el contexto del conflicto durante estos ataques.
Desde febrero de este año, se ha rastreado una nueva amenaza avanzada persistente (APT) que explota una vulnerabilidad no parcheada de Zimbra, por la que el grupo TA473 consigue acceder a los emails de funcionarios europeos y estadounidenses. Utilizan herramientas de escaneado como Acunetix para identificar portales de correo web sin parches pertenecientes a estas organizaciones e identificar métodos viables para atacar a las posibles víctimas.
Tras el reconocimiento inicial, los ciberdelincuentes envían correos de phishing que en el cuerpo contienen URLs maliciosas que abusan de dicha vulnerabilidad para ejecutar payloads JavaScript. Además, parecen pasar mucho tiempo estudiando los correos electrónicos de sus objetivos y escribiendo payloads a medida que les permitan robar nombres de usuario, contraseñas y almacenar tokens de sesión activa y CSRF a partir de cookies.
El enfoque y la persistencia de TA473 en escanear y explotar vulnerabilidades sin parches son la clave de su éxito. En lugar de desarrollar herramientas y payloads más genéricas, invierten tiempo y recursos para comprometer objetivos específicos. Por estos motivos, los expertos de Proofpoint recomiendan encarecidamente parchear todas las versiones de Zimbra Collaboration utilizadas en los portales de correo web de acceso público, especialmente entre las entidades gubernamentales europeas. Además, se aconseja restringir los recursos de dichos portales para evitar que grupos como TA473 reconfiguren y diseñen scripts personalizados capaces de robar credenciales e iniciar sesión en las cuentas de los usuarios.
