Da Wired.it :
La Nato è nel mirino dei cybercriminali russi. Secondo quanto riportato da un rapporto Proofpoint, il gruppo TA473 – noto anche con il nome di “Winter Vivern” – sta sfruttando attivamente, “almeno da febbraio 2023”, la vulnerabilità CVE-2022-27926 del software applicativo Zimbra per rubare le email di funzionari, militari e diplomatici della Nato. Nel dettaglio, l’attacco segue un iter ben preciso. Per cominciare, il gruppo utilizza strumenti di scansione come Acunetix per identificare i portali webmail collegati all’organizzazione privi di patch, così da essere certo di colpire le vittime a cui è interessato.
Una volta che la fase di ricognizione è terminata, i cybercriminali inviano email di phishing spacciandosi per risorse governative, così da convincere il destinatario ad aprire il messaggio. Al suo interno, infatti, si trovano collegamenti ipertestuali che sfruttano la “vulnerabilità nota per eseguire i payload JavaScript all’interno dei portali webmail della vittima”. Questi stralci di codice consentono al gruppo TA473 di rubare nomi utente e password e archiviare token dai cookies. E una volta in possesso di queste informazioni, i cybercriminali possono accedere liberamente alle caselle di posta elettronica delle vittime.
Una strategia di successo, che sembra trovare il suo punto di forza nella diligenza del gruppo TA473 nella ricognizione pre-attacco, che si concentra sul capire quale portale utilizza il loro obiettivo prima di creare le email di phishing e impostare la funzione della pagina di destinazione. Sembra essere proprio questo a rafforzare la strategia di attacco dei cybercriminali, permettendogli di accedere a informazioni sensibili sulle webmail compromesse o rimanere collegati agli account per monitorare le comunicazioni per un certo periodo di tempo.
Inoltre, come se non bastasse, i cybercriminali del gruppo TA374 possono anche utilizzare gli account violati per eseguire attacchi di phishing laterali e promuovere la loro infiltrazione nelle organizzazioni bersaglio. Insomma, nonostante i ricercatori ritengano che il gruppo non sia troppo sofisticato, è evidente che utilizzi un approccio operativo efficace che funziona anche contro obiettivi di alto profilo che non riescono ad aggiornare le patch di sicurezza abbastanza rapidamente. Un’abilità da non sottovalutare nella cyberguerra tra Russia e Occidente.