Cyber-Angriffe in Europa: Hacker-Kampagne aufgedeckt
Bedrohungsakteure mit Interessen in Belarus und Russland wurden mit einer neuen Cyber-Spionagekampagne in Verbindung gebracht, die wahrscheinlich Cross-Site-Scripting (XSS)-Schwachstellen in Roundcube-Webmail-Servern ausnutzte, um über 80 Organisationen anzugreifen.
Laut Recorded Future sind diese Organisationen hauptsächlich in Georgien, Polen und der Ukraine ansässig. Die Kampagne wird Winter Vivern zugeordnet, auch bekannt als TA473 und UAC0114. Das Cybersecurity-Unternehmen verfolgt die Gruppe unter dem Namen Threat Activity Group 70 (TAG-70).
Winter Vivern hat in der Vergangenheit Sicherheitslücken in Roundcube und anderen Softwareprodukten ausgenutzt, wie bereits von ESET im Oktober 2023 berichtet wurde. Dies schließt sich anderen russisch verbundenen Bedrohungsakteurgruppen wie APT28, APT29 und Sandworm an, die bekanntermaßen E-Mail-Software angreifen.
Die Angriffe von Winter Vivern begannen mindestens im Dezember 2020 und wurden auch mit dem Missbrauch einer mittlerweile behobenen Sicherheitslücke in der Zimbra Collaboration E-Mail-Software in Verbindung gebracht, um Organisationen in Moldawien und Tunesien im Juli 2023 zu infiltrieren.
Die von Recorded Future entdeckte Kampagne fand Anfang Oktober 2023 statt und dauerte bis Mitte des Monats an. Das Ziel war es, Geheimdienstinformationen über europäische politische und militärische Aktivitäten zu sammeln. Die Angriffe überschneiden sich mit zusätzlichen Aktivitäten von TAG-70 gegen usbekische Regierungs-Mailserver, die im März 2023 entdeckt wurden.
Die Angriffssequenzen beinhalten die Ausnutzung von Schwachstellen in Roundcube, um JavaScript-Payloads bereitzustellen, die darauf abzielen, Benutzeranmeldeinformationen an einen Command-and-Control (C2)-Server zu exfiltrieren.
Recorded Future fand auch Hinweise darauf, dass TAG-70 die iranischen Botschaften in Russland und den Niederlanden, sowie die georgische Botschaft in Schweden ins Visier genommen hat. Dies weist auf ein breiteres geopolitisches Interesse hin, insbesondere hinsichtlich der Unterstützung Irans für Russland in der Ukraine und der Überwachung von Georgiens Bestrebungen für den EU- und NATO-Beitritt.