TA473 kampányok a szövetségesek ellen
A Proofpoint azonosított egy fenyegtési szereplőt, ami a CVE-2022-27926 sérülékenyet kihasználva visszaél a Zimbra webes levelezőportálokkal. A Proofpoint által TA473-nek nevezett – más fenyegetéselemzők által Winter Vivern néven azonosított – szereplő a célja, hogy hozzáférjen az Orosz-Ukrán háborúban részt vevő katonai, kormányzati és diplomáciai szervezetek e-mailjeihez Európa-szerte. A csoport olyan szkennelő eszközöket használ, mint az Acunetix, hogy azonosítsa az ezekhez a szervezetekhez tartozó, nem javított webmail portálokat, hogy életképes módszereket találjon az áldozatok kihasználására. A kezdeti szkennelési felderítést követően a fenyegetés szereplői adathalász e-maileket küldenek, amelyek állítólag releváns jóindulatú kormányzati anyagok, ugyanakkor az e-mail törzsében rosszindulatú URL-eket tartalmaznak, amelyek az áldozatok webes levelezőportáljain belüli JavaScript-csomagok futtatása érdekében kihasználják az ismert biztonsági résekkel. A Proofpoint egyetért a Sentinel One elemzésével, miszerint a TA473 műveleti felületesen igazodnak az orosz és/vagy fehérorosz geopolitikai célokhoz.
2022 végén azonban a Proofpoint kutatói olyan adathalász kampányokat is megfigyeltek, amelyek az Egyesült Államok tisztségviselőit és munkatársait vették célba. Az orosz-ukrán háború kezdete óta a kutatók közös vonást figyeltek meg a megfigyelt célpontok, a szociális tervezési csalik és a megszemélyesített személyek között. A megcélzott személyek gyakran az európai politika vagy gazdaság különböző aspektusainak szakértői.
A Proofpoint megadta kampány során használt, az azonosításhoz szükséges mutatókat.