Ryska APT "Winter Vivern" riktar sig till europeiska regeringar, militär

Den Ryssland-anpassade hotgruppen känd som Winter Vivern upptäcktes utnyttja cross-site scripting (XSS) sårbarheter i Roundcube webbmailservrar över hela Europa i oktober – och nu kommer dess offer fram i ljuset.

Gruppen riktade sig främst mot regering, militär och nationell infrastruktur i Georgien, Polen och Ukraina, enligt Recorded Futures Insikt Group-rapport om kampanjen som släpptes idag.

Rapporten lyfte också fram ytterligare mål, inklusive Irans ambassad i Moskva, Irans ambassad i Nederländerna och Georgiens ambassad i Sverige.

Genom att använda sofistikerade sociala ingenjörstekniker använde APT (som Insikt kallar TAG-70 och som också är känd som TA473 och UAC-0114) en Roundcube zero-day exploit att få obehörig åtkomst till riktade e-postservrar över minst 80 separata organisationer, allt från transport- och utbildningssektorerna till kemiska och biologiska forskningsorganisationer.

Kampanjen tros ha satts in för att samla in underrättelser om europeiska politiska och militära angelägenheter, potentiellt för att få strategiska fördelar eller undergräva europeisk säkerhet och allianser, enligt Insikt.

Gruppen misstänks för att ha bedrivit cyberspionagekampanjer som tjänar Vitrysslands och Rysslands intressen och har varit aktiv sedan åtminstone december 2020.

Winter Viverns geopolitiska motiv för cyberspionage

Oktoberkampanjen var kopplad till TAG-70:s tidigare aktivitet mot Uzbekistans regerings e-postservrar, rapporterad av Insikt Group i februari 2023.

En uppenbar motivation för det ukrainska målet är konflikten med Ryssland.

"I sammanhanget av det pågående kriget i Ukraina, kan komprometterade e-postservrar avslöja känslig information om Ukrainas krigsinsats och planering, dess relationer och förhandlingar med dess partnerländer när de söker ytterligare militärt och ekonomiskt bistånd, [vilket] avslöjar tredje parter som samarbetar med den ukrainska regeringen privat, och avslöja sprickor inom koalitionen som stöder Ukraina”, noterade Insikt-rapporten.

Samtidigt kan fokus på iranska ambassader i Ryssland och Nederländerna vara knutet till ett motiv att utvärdera Irans pågående diplomatiska engagemang och utrikespolitiska ståndpunkter, särskilt med tanke på Irans engagemang i att stödja Ryssland i konflikten i Ukraina.

På samma sätt härrör spionaget mot den georgiska ambassaden i Sverige och det georgiska försvarsdepartementet troligen från jämförbara utrikespolitiska mål, särskilt som Georgien har återupplivat sin strävan efter EU-medlemskap och NATO-anslutning i efterdyningarna av Rysslands intrång i Ukraina i början av 2022.

Andra anmärkningsvärda mål inkluderade organisationer involverade i logistik- och transportindustrin, vilket är talande baserat på kriget i Ukraina, eftersom robusta logistiknätverk har visat sig vara avgörande för båda sidor för att behålla sin förmåga att slåss.

Cyberspionageförsvar är svårt

Cyberspionagekampanjer har ökat: tidigare denna månad, en sofistikerad rysk APT lanserades en riktad PowerShell-attackkampanj mot den ukrainska militären, medan en annan rysk APT, Turla, riktade sig mot polska icke-statliga organisationer med hjälp av en ny bakdörr skadlig kod.

Ukraina har också inledde sina egna cyberattacker mot Ryssland, som riktar sig mot Moskvas internetleverantör M9 Telecoms servrar i januari, som vedergällning för det Ryssland-stödda brottet mot Kyivstars mobiltelefonoperatör.

Men Insikt Group-rapporten noterade att det kan vara svårt att försvara sig mot attacker som dessa, särskilt i fallet med nolldagars sårbarhetsexploatering.

Organisationer kan dock mildra effekterna av kompromisser genom att kryptera e-postmeddelanden och överväga alternativa former av säker kommunikation för överföring av särskilt känslig information.

Det är också avgörande att se till att alla servrar och mjukvara är patchade och uppdaterade, och användare bör endast öppna e-postmeddelanden från betrodda kontakter.

Organisationer bör också begränsa mängden känslig information som lagras på e-postservrar genom att utöva god hygien och minska datalagring och begränsa känslig information och konversationer till säkrare högsidesystem när det är möjligt.

Rapporten noterade också att ansvarsfull avslöjande av sårbarheter, särskilt de som utnyttjas av APT-aktörer som TAG-70, är ​​avgörande av flera skäl.

En hotintelligensanalytiker vid Recorded Futures Insikt Group förklarade via e-post att detta tillvägagångssätt säkerställer att sårbarheter korrigeras och åtgärdas snabbt innan andra upptäcker och missbrukar dem, och möjliggör inneslutning av utnyttjande av sofistikerade angripare, vilket förhindrar bredare och snabbare skada.

"I slutändan adresserar detta tillvägagångssätt de omedelbara riskerna och uppmuntrar långsiktiga förbättringar av globala cybersäkerhetspraxis", förklarade analytikern.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military