El grupo de ciberespías “Winter Vivern” pone el foco en los gobiernos de países alineados con la OTAN

Este grupo se dedica a espionaje de todo tipo de organizaciones militares, gubernamentales y diplomaticas alineadas con la OTAN

Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha observado actividad reciente del grupo de ciberdelincuentes TA473, conocido públicamente como “Winter Vivern”, que se dedica al espionaje de organizaciones militares, gubernamentales y diplomáticas alineadas con la OTAN e implicadas en la guerra entre Rusia y Ucrania.

El TA473 realiza campañas de phishing para entregar payloads de PowerShell y JavaScript, así como campañas recurrentes de recolección de credenciales. Según la investigación de Proofpoint, estos ciberdelincuentes tienen a organizaciones europeas como objetivo desde 2021, pero no es hasta finales del año pasado cuando empiezan a dirigirse también a funcionarios de Estados Unidos. Sin embargo, el inicio de la guerra en Ucrania provoca que se centren en objetivos que son expertos en aspectos de la política o la economía europeas relacionados con las regiones afectadas. Cabe destacar que tanto los señuelos de ingeniería social como las organizaciones suplantadas suelen referirse a Ucrania en el contexto del conflicto durante estos ataques.

Desde febrero de este año, se ha rastreado una nueva amenaza avanzada persistente (APT) que explota una vulnerabilidad no parcheada de Zimbra, por la que el grupo TA473 consigue acceder a los emails de funcionarios europeos y estadounidenses. Utilizan herramientas de escaneado como Acunetix para identificar portales de correo web sin parches pertenecientes a estas organizaciones e identificar métodos viables para atacar a las posibles víctimas.

Tras el reconocimiento inicial, los ciberdelincuentes envían correos de phishing que en el cuerpo contienen URLs maliciosas que abusan de dicha vulnerabilidad para ejecutar payloads JavaScript. Además, parecen pasar mucho tiempo estudiando los correos electrónicos de sus objetivos y escribiendo payloads a medida que les permitan robar nombres de usuario, contraseñas y almacenar tokens de sesión activa y CSRF a partir de cookies.

El enfoque y la persistencia de TA473 en escanear y explotar vulnerabilidades sin parches son la clave de su éxito. En lugar de desarrollar herramientas y payloads más genéricas, invierten tiempo y recursos para comprometer objetivos específicos. Por estos motivos, los expertos de Proofpoint recomiendan encarecidamente parchear todas las versiones de Zimbra Collaboration utilizadas en los portales de correo web de acceso público, especialmente entre las entidades gubernamentales europeas. Además, se aconseja restringir los recursos de dichos portales para evitar que grupos como TA473 reconfiguren y diseñen scripts personalizados capaces de robar credenciales e iniciar sesión en las cuentas de los usuarios.

“Llevamos aproximadamente dos años siguiendo la actividad del TA473 y lo que ha permanecido constante es su persistencia y dedicación. Este grupo ha sido tenaz en sus ataques contra funcionarios estadounidenses y europeos, así como contra personal militar y diplomático en Europa. Desde finales de 2022, TA473 ha invertido una gran cantidad de tiempo en estudiar los portales de correo electrónico de las entidades gubernamentales europeas y escanear la infraestructura pública en busca de vulnerabilidades; todo ello en un esfuerzo por obtener acceso a los correos electrónicos de las personas estrechamente involucradas en asuntos gubernamentales y en la guerra entre Rusia y Ucrania”,concluye Michael Raggi, investigador de amenazas en Proofpoint.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio