Un groupe de piratage russe suivi sous le nom de TA473, alias « Winter Vivern », exploite activement les vulnérabilités des terminaux Zimbra non corrigés depuis février 2023 pour voler les e-mails des responsables de l’OTAN, des gouvernements, du personnel militaire et des diplomates.
Il y a deux semaines, Sentinel Labs a rendu compte d’une opération récente de « Winter Vivern » utilisant des sites imitant des agences européennes luttant contre la cybercriminalité pour diffuser des logiciels malveillants prétendant être un scanner de virus.
Aujourd’hui, Proofpoint a publié un nouveau rapport sur la façon dont l’acteur malveillant exploite CVE-2022-27926 sur les serveurs Zimbra Collaboration pour accéder aux communications d’organisations et de personnes alignées sur l’OTAN.
Cibler Zimbra
Les attaques de Winter Vivern commencent par l’analyse par l’acteur de la menace des plates-formes de messagerie Web non corrigées à l’aide du scanner de vulnérabilité de l’outil Acunetix.
Ensuite, les pirates envoient un e-mail de phishing à partir d’une adresse compromise, qui est usurpée pour apparaître comme une personne que la cible connaît ou qui est en quelque sorte pertinente pour son organisation.
Les e-mails contiennent un lien qui exploite le CVE-2022-27926 dans l’infrastructure Zimbra compromise de la cible pour injecter d’autres charges utiles JavaScript dans la page Web.
Ces charges utiles sont ensuite utilisées pour voler les noms d’utilisateur, les mots de passe et les jetons des cookies reçus du point de terminaison Zimbra compromis. Ces informations permettent aux pirates d’accéder librement aux comptes de messagerie des cibles.
« Ces blocs de code JavaScript CSRF sont exécutés par le serveur qui héberge une instance de messagerie Web vulnérable », explique Proofpoint dans le rapport.
« De plus, ce JavaScript réplique et s’appuie sur l’émulation du JavaScript du portail de messagerie Web natif pour renvoyer les détails clés de la demande Web qui indiquent le nom d’utilisateur, le mot de passe et le jeton CSRF des cibles. »
« Dans certains cas, les chercheurs ont observé que TA473 ciblait également spécifiquement les jetons de demande de messagerie Web RoundCube. »
Ce détail démontre la diligence des acteurs de la menace dans la reconnaissance avant l’attaque, en déterminant quel portail leur cible utilise avant de créer les e-mails de phishing et de définir la fonction de page de destination.
Outre les trois couches d’obscurcissement base64 appliquées sur le JavaScript malveillant pour rendre l’analyse plus compliquée, « Winter Vivern » comprenait également des parties du JavaScript légitime qui s’exécute dans un portail de messagerie Web natif, se mélangeant aux opérations normales et diminuant la probabilité de détection.
Enfin, les acteurs de la menace peuvent accéder aux informations sensibles sur les webmails compromis ou maintenir leur emprise pour surveiller les communications sur une période de temps. De plus, les pirates peuvent utiliser les comptes piratés pour mener des attaques de phishing latérales et poursuivre leur infiltration des organisations cibles.
Bien que les chercheurs déclarent que « Winter Vivern » n’est pas particulièrement sophistiqué, ils suivent une approche opérationnelle efficace qui fonctionne même contre des cibles de premier plan qui ne parviennent pas à appliquer les correctifs logiciels assez rapidement.
Dans ce cas, CVE-2022-27926 a été corrigé dans Zimbra Collaboration 9.0.0 P24, publié en avril 2022.
Considérant que les premières attaques ont été observées en février 2023, le délai d’application de la mise à jour de sécurité est mesuré à au moins dix mois.