Die mit Russland verbündete Bedrohungsgruppe rief an Winterwyvern wurde im Oktober bei der Ausnutzung von Cross-Site-Scripting (XSS)-Schwachstellen in Roundcube-Webmail-Servern in ganz Europa entdeckt – und jetzt kommen seine Opfer ans Licht.
Laut dem heute veröffentlichten Bericht der Insikt Group von Recorded Future über die Kampagne zielte die Gruppe hauptsächlich auf Regierungs-, Militär- und nationale Infrastruktur in Georgien, Polen und der Ukraine ab.
Der Bericht hob auch weitere Ziele hervor, darunter die iranische Botschaft in Moskau, die iranische Botschaft in den Niederlanden und die georgische Botschaft in Schweden.
Mithilfe ausgefeilter Social-Engineering-Techniken nutzte das APT (das Insikt TAG-70 nennt und das auch als TA473 und UAC-0114 bekannt ist) a Roundcube Zero-Day-Exploit sich unbefugten Zugriff auf gezielte Mailserver in mindestens 80 verschiedenen Organisationen zu verschaffen, vom Transport- und Bildungssektor bis hin zu chemischen und biologischen Forschungsorganisationen.
Man gehe davon aus, dass die Kampagne eingesetzt worden sei, um Informationen über europäische politische und militärische Angelegenheiten zu sammeln, möglicherweise um strategische Vorteile zu erlangen oder die europäische Sicherheit und Bündnisse zu untergraben, so Insikt.
Die Gruppe steht im Verdacht, Cyberspionagekampagnen im Interesse von Belarus und Russland durchzuführen, und ist seit mindestens Dezember 2020 aktiv.
Winter Viverns geopolitische Motivationen für Cyberspionage
Die Kampagne im Oktober stand im Zusammenhang mit früheren Aktivitäten von TAG-70 gegen Mailserver der usbekischen Regierung, über die die Insikt Group im Februar 2023 berichtete.
Ein offensichtlicher Beweggrund für die ukrainischen Angriffe ist der Konflikt mit Russland.
„Im Kontext des andauernden Krieges in der Ukraine können kompromittierte E-Mail-Server sensible Informationen über die Kriegsanstrengungen und -planung der Ukraine, ihre Beziehungen und Verhandlungen mit ihren Partnerländern preisgeben, während sie zusätzliche militärische und wirtschaftliche Hilfe anstrebt, [die] kooperierende Dritte entlarven.“ „Ich habe privat mit der ukrainischen Regierung gesprochen und Spaltungen innerhalb der die Ukraine unterstützenden Koalition offengelegt“, heißt es in dem Insikt-Bericht.
Unterdessen könnte die Fokussierung auf die iranischen Botschaften in Russland und den Niederlanden mit dem Motiv verbunden sein, die laufenden diplomatischen Engagements und außenpolitischen Positionen Irans zu bewerten, insbesondere angesichts der Beteiligung Irans an der Unterstützung Russlands im Konflikt in der Ukraine.
In ähnlicher Weise sind die Spionageangriffe auf die georgische Botschaft in Schweden und das georgische Verteidigungsministerium wahrscheinlich auf vergleichbare außenpolitische Ziele zurückzuführen, insbesondere da Georgien nach dem Einmarsch Russlands in die Ukraine Anfang 2022 sein Streben nach einer Mitgliedschaft in der Europäischen Union und einem NATO-Beitritt wiederbelebt hat XNUMX.
Weitere bemerkenswerte Ziele waren Organisationen aus der Logistik- und Transportbranche, was vor dem Hintergrund des Krieges in der Ukraine aufschlussreich ist, da sich robuste Logistiknetzwerke für beide Seiten als entscheidend für die Aufrechterhaltung ihrer Kampffähigkeit erwiesen haben.
Die Abwehr von Cyberspionage ist schwierig
Cyber-Spionagekampagnen nehmen zu: Anfang dieses Monats wurde ein hochentwickeltes russisches APT entdeckt ins Leben gerufen eine gezielte PowerShell-Angriffskampagne gegen das ukrainische Militär, während ein anderer russischer APT, Turla, polnische NGOs mit a ins Visier nahm neuartige Backdoor-Malware.
Die Ukraine hat es auch startete eigene Cyberangriffe gegen Russland, die im Januar die Server des Moskauer Internetdienstanbieters M9 Telecom ins Visier nahm, als Vergeltung für den von Russland unterstützten Einbruch des Mobilfunkbetreibers Kyivstar.
Der Bericht der Insikt Group stellte jedoch fest, dass die Abwehr solcher Angriffe schwierig sein kann, insbesondere im Fall der Ausnutzung von Zero-Day-Schwachstellen.
Allerdings können Unternehmen die Auswirkungen einer Kompromittierung abmildern, indem sie E-Mails verschlüsseln und alternative Formen der sicheren Kommunikation für die Übertragung besonders sensibler Informationen in Betracht ziehen.
Es ist außerdem wichtig sicherzustellen, dass alle Server und Software gepatcht und auf dem neuesten Stand sind und Benutzer nur E-Mails von vertrauenswürdigen Kontakten öffnen sollten.
Unternehmen sollten außerdem die Menge der auf Mailservern gespeicherten sensiblen Informationen begrenzen, indem sie auf gute Hygiene achten, die Datenaufbewahrung reduzieren und sensible Informationen und Gespräche nach Möglichkeit auf sicherere High-Side-Systeme beschränken.
Der Bericht stellte außerdem fest, dass eine verantwortungsvolle Offenlegung von Schwachstellen, insbesondere solcher, die von APT-Akteuren wie TAG-70 ausgenutzt werden, aus mehreren Gründen von entscheidender Bedeutung ist.
Ein Threat-Intelligence-Analyst der Insikt Group von Recorded Future erklärte per E-Mail, dass dieser Ansatz sicherstellt, dass Schwachstellen schnell gepatcht und behoben werden, bevor andere sie entdecken und missbrauchen, und dass er die Eindämmung von Exploits durch raffinierte Angreifer ermöglicht und so größeren und schnelleren Schaden verhindert.
„Letztendlich geht dieser Ansatz auf die unmittelbaren Risiken ein und fördert langfristige Verbesserungen der globalen Cybersicherheitspraktiken“, erklärte der Analyst.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
- :hast
- :Ist
- $UP
- 2020
- 2022
- 2023
- 7
- 80
- a
- Fähigkeit
- Missbrauch
- Zugang
- Nach
- über
- aktiv
- Aktivität
- Akteure
- Zusätzliche
- Adressen
- Vorteilen
- Angelegenheiten
- Nachwirkungen
- gegen
- Alle
- Allianzen
- ebenfalls
- Alternative
- Betrag
- Analytiker
- und
- Ein anderer
- Ansatz
- APT
- SIND
- AS
- Hilfe
- At
- Attacke
- Anschläge
- Hintertür-
- basierend
- BE
- war
- Bevor
- Belarus
- beide
- Beide Seiten
- Verletzung
- breiteres
- by
- Aufrufe
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Häuser
- chemisch
- Koalition
- Kommen
- Kommunikation
- vergleichbar
- Kompromiss
- Kompromittiert
- Leitung
- Konflikt
- Berücksichtigung
- Kontakte
- Eindämmung
- Kontext
- Gespräche
- kooperierend
- könnte
- Ländern
- wichtig
- Cyber-
- Cyber-Angriffe
- Internet-Sicherheit
- technische Daten
- Dezember
- Kinder
- Militär
- Einsatz
- schwer
- Bekanntgabe
- entdeckt,
- entdeckt
- Früher
- Früh
- Wirtschaftlich
- Bildungswesen
- Anstrengung
- E-Mails
- ermöglicht
- ermutigt
- Engagements
- Entwicklung
- gewährleisten
- sorgt
- insbesondere
- Spionage
- Europa
- Europäische
- Europäische Union
- bewerten
- erklärt
- Ausbeutung
- Exploited
- Nutzung
- Abenteuer
- Februar
- Kampf
- Setzen Sie mit Achtsamkeit
- Aussichten für
- fremd
- Außenpolitik
- Formen
- für
- Zukunft
- Gewinnen
- sammeln
- geopolitischen
- Georgien
- Georgisch
- Global
- gut
- der Regierung
- Regierungen
- Gruppe an
- schaden
- Haben
- Besondere
- HTTPS
- unmittelbar
- Impact der HXNUMXO Observatorien
- Verbesserungen
- in
- inklusive
- Einschließlich
- Branchen
- Information
- Infrastruktur
- Intelligenz
- Interessen
- Internet
- in
- beteiligt
- Beteiligung
- Iran
- iranisch
- IT
- SEINE
- Januar
- jpg
- gehalten
- bekannt
- am wenigsten
- !
- Gefällt mir
- LIMIT
- verknüpft
- Logistik
- langfristig
- hauptsächlich
- Aufrechterhaltung
- Kann..
- Mitgliedschaft
- Militär
- Missionsdienstes
- Mildern
- Mobil
- Handy
- Monat
- mehr
- Moskau
- Motivation
- Motivationen
- Motiv
- National
- Verhandlungen
- Niederlande
- Netzwerke
- NGOs
- bemerkenswert
- bekannt
- jetzt an
- offensichtlich
- Oktober
- of
- on
- laufend
- einzige
- XNUMXh geöffnet
- Operator
- or
- Organisationen
- Anders
- besitzen
- besonders
- Parteien
- Partner
- Telefon
- Planung
- Plato
- Datenintelligenz von Plato
- PlatoData
- Polen
- Datenschutzrichtlinien
- Polnisch
- politisch
- für einige Positionen
- möglich
- möglicherweise
- Powershell
- Praktiken
- Verhütung
- früher
- wahrscheinlich
- erwies sich
- Versorger
- Verfolgung
- schnell
- Rampe
- Bereich
- schnell
- Gründe
- aufgezeichnet
- korrigiert
- Reduzierung
- in Bezug auf
- Beziehungen
- freigegeben
- berichten
- Berichtet
- Forschungsprojekte
- für ihren Verlust verantwortlich.
- eine Beschränkung
- Beibehaltung
- zeigen
- Risiken
- robust
- Russland
- russisch
- s
- Sektoren
- Verbindung
- Sicherheitdienst
- Sucht
- empfindlich
- getrennte
- Fertige Server
- Dienstanbieter
- Dienst
- mehrere
- sollte
- Seiten
- da
- Social Media
- Soziale Technik
- Software
- anspruchsvoll
- Sponsored
- stammt
- gelagert
- Strategisch
- so
- Unterstützung
- Schweden
- Systeme und Techniken
- gezielt
- Targeting
- Ziele
- Techniken
- Telekom
- erzählen
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Niederlande
- ihr
- Sie
- Diese
- Dritte
- dritte seite
- fehlen uns die Worte.
- diejenigen
- dachte
- Bedrohung
- Gebunden
- zu
- heute
- Übertragung
- Transportwesen
- , des Transports
- vertraut
- Ukraine
- Ukrainisch
- Letztlich
- unbefugt
- Untergraben
- Gewerkschaft
- auf dem neusten Stand
- benutzt
- Nutzer
- Verwendung von
- Usbekistan
- Opfer
- Sicherheitslücken
- Verwundbarkeit
- Krieg
- Krieg in der Ukraine
- wurde
- sobald
- welche
- während
- Winter
- mit
- .
- XSS
- Zephyrnet
