注册
登录
| 关键词: JavaScript Proofpoint Vivern 网络 攻击 邮件 目标 漏洞 Zimbra Winter |
自 2023 年 2 月以来,一个名为 TA473(又名“Winter Vivern”)的俄罗斯黑客组织一直在积极利用未修补的 Zimbra 端点漏洞窃取北约官员、政府、军事人员和外交官的电子邮件。 两周前,Sentinel Labs 报道 了“Winter Vivern”最近的一项行动,该行动利用模仿欧洲机构打击网络犯罪的网站来传播伪装成病毒扫描程序的恶意软件。 今天, Proofpoint 发布了一份关于如何利用 Zimbra Collaboration 服务器上的CVE-2022-27926 漏洞访问与北约组织和个人的通信的新报告(https://www.proofpoint.com/us/blog/threat-insight/exploitation-dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability)。 瞄准 ZimbraWinter Vivern 攻击始于攻击者使用 Acunetix 工具漏洞扫描器扫描未修补漏洞的网络邮件平台。 接下来,黑客从受感染的地址发送网络钓鱼电子邮件,该地址被伪装成目标熟悉的人或与他们的组织有某种相关性。  Winter Vivern (Proofpoint)发送的电子邮件 这些电子邮件包含一个链接,该链接利用目标受损 Zimbra 基础设施中的 CVE-2022-27926漏洞将其他 JavaScript 有效负载注入网页。 然后,这些有效负载用于从受感染的 Zimbra 端点收到的 cookie 中窃取用户名、密码和令牌。此信息允许攻击自由访问目标的电子邮件帐户。  完整的攻击链 (Proofpoint) “这些 CSRF JavaScript 代码块由托管易受攻击的网络邮件实例的服务器执行。”。Proofpoint 在报告中解释道。 “此外,此 JavaScript 复制并依赖于模拟本机网络邮件门户的 JavaScript,以返回目标用户名、密码和 CSRF 令牌的关键网络请求详细信息。” “在某些情况下,研究人员观察到 TA473 也专门针对 RoundCube 网络邮件请求令牌。” 除了对恶意 JavaScript 应用三层 base64 混淆以使分析更加复杂之外,“Winter Vivern”还包括在本机 Web 邮件门户中运行的部分合法 JavaScript,与正常操作混合并降低被检测到的可能性。  混淆的 JavaScript (Proofpoint) 攻击者可以访问受感染的网络邮件中的敏感信息,或者保留他们的控制权以在一段时间内监控通信。此外,黑客还可以利用被攻破的账户进行横向钓鱼攻击,进一步渗透目标组织。 研究人员表示“Winter Vivern”并不是特别复杂,但他们采用了一种有效的操作方法,即使对那些未能足够快地应用软件补丁的知名目标也能奏效。 CVE-2022-27926 在 2022 年 4 月发布的 Zimbra Collaboration 9.0.0 P24 中得到修复。 考虑到最早的攻击是在 2023 年 2 月观察到的,应用安全更新的延迟被测量为至少十个月。 |
| 本文出处: https://www.toutiao.com/article/7216541386290545155/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
