Onderzoekers hebben waargenomen dat TA473, een nieuwe APT-actor (Advanced Persistent Threat) die wordt gevolgd door Proofpoint, misbruik maakt van de Zimbra-kwetsbaarheid CVE-2022-27926 om openbaar toegankelijke door Zimbra gehoste webmailportalen te misbruiken. Het doel van deze activiteit wordt geacht toegang te krijgen tot de e-mails van militaire, overheids- en diplomatieke organisaties in heel Europa die betrokken zijn bij de oorlog in Rusland en Oekraïne. Proofpoint is het eens met de analyse van Sentinel One dat TA473-targeting oppervlakkig overeenkomt met de steun van Russische en/of Wit-Russische geopolitieke doelen aangezien deze betrekking hebben op de oorlog tussen Rusland en Oekraïne.
De groep gebruikt scantools zoals Acunetix om niet-gepatchte webmailportalen van deze organisaties te identificeren om levensvatbare methoden te identificeren om slachtoffers te targeten. Na de eerste scanverkenning bezorgen de bedreigingsactoren phishing-e-mails die beweren relevante, goedaardige overheidsbronnen te zijn, die in de hoofdtekst van de e-mail een hyperlink bevatten met kwaadaardige URL's die misbruik maken van bekende kwetsbaarheden om JavaScript-payloads uit te voeren binnen de webmailportals van het slachtoffer. Verder lijken de bedreigingsactoren veel tijd te investeren in het bestuderen van elke webmailportal die bij hun doelwit hoort, en in het schrijven van op maat gemaakte JavaScript-payloads om Cross Site Request Forgery uit te voeren. Deze arbeidsintensieve, op maat gemaakte payloads stellen actoren in staat gebruikersnamen en wachtwoorden te stelen en actieve sessie- en CSRF-tokens op te slaan uit cookies die het inloggen op openbare webmailportalen van NAVO-gelieerde organisaties vergemakkelijken.
Proofpoint-onderzoekers hebben TA473 onlangs gepromoveerd tot een publiekelijk gevolgde bedreigingsactor. Proofpoint staat in open-sourceonderzoek bekend als Winter Vivern en volgt dit activiteitencluster sinds ten minste 2021.
TA473 wordt publiekelijk Winter Vivern en UAC-0114 genoemd door beveiligingsleveranciers zoals DomainTools , Lab52 , Sentinel One en het Oekraïense CERT. Deze bedreigingsactor heeft van oudsher gebruik gemaakt van phishing-campagnes om zowel PowerShell- als JavaScript-payloads te leveren, en voert ook terugkerende campagnes voor het verzamelen van referenties uit met behulp van phishing-e-mails. Proofpoint heeft sinds 2021 een gezamenlijke focus waargenomen op Europese regeringen, militaire en diplomatieke entiteiten in actieve phishing-campagnes. Eind 2022 observeerden Proofpoint-onderzoekers echter ook phishing-campagnes die gericht waren op gekozen functionarissen en stafleden in de Verenigde Staten. Sinds het uitbreken van de oorlog tussen Rusland en Oekraïne hebben onderzoekers een overeenkomst waargenomen tussen waargenomen doelen, kunstaas voor social engineering en nagebootste individuen. Vaak zijn de doelwitten experts in facetten van de Europese politiek of economie, aangezien het gaat om regio's die getroffen zijn door het aanhoudende conflict.
Proofpoint heeft een evolutie waargenomen van TA473-phishingcampagnes sinds 2021. Er is waargenomen dat deze bedreigingsactor opportunistische exploits gebruikt om zijn slachtoffers aan te vallen, waaronder populaire eendaagse kwetsbaarheden zoals de CVE-2022-30190 ("Follina")-exploit die in mei 2022 werd onthuld. Meestal maakt deze bedreigingsactor echter gebruik van een terugkerende reeks phishing-technieken in elke e-mailcampagne. De onderstaande phishing-tactieken zijn consequent waargenomen bij zowel Amerikaanse als Europese doelen, evenals bij campagnes voor het verzamelen van referenties, het leveren van malware en cross-site request forgery (CSRF).