jeudi, 28 mars 2024

Le groupe APT Winter Vivern exploite la faille du webmail Zimbra pour cibler les entités gouvernementales

Crédit : Dreamstime

Un groupe APT connu sur le marché de la sécurité sous le nom de Winter season a utilisé une vulnérabilité dans l’application logicielle Zimbra Collaboration pour accéder aux boîtes aux lettres des entreprises du gouvernement fédéral dans un certain nombre de pays européens. Bien qu’aucun lien clair n’ait été établi entre la saison d’hiver Vivern et le gouvernement d’un pays particulier, les scientifiques de la sécurité ont en fait noté que ses activités s’alignent soigneusement sur les intérêts de la Russie et de la Biélorussie.

Le groupe, qui est également suivi comme TA473 ou UAC-0114, fonctionne depuis au moins 2021 et des victimes passées ont été identifiées en Lituanie, en Inde, au Vatican et en Slovaquie.

Selon un rapport publié plus tôt ce mois-ci par la société de cybersécurité SentinelLabs, les cibles les plus récentes sont les agences gouvernementales fédérales polonaises, le ministère ukrainien des Affaires étrangères, le ministère italien des Affaires étrangères, des individus au sein du gouvernement fédéral indien et des télécoms. entreprises qui soutiennent l’Ukraine dans la guerre continue.

Dans un nouveau rapport publié aujourd’hui, la société de cybersécurité Proofpoint a déclaré avoir vu des projets Winter Vivern à la fin de l’année dernière qui ciblaient des responsables aux et leurs employés.

Le mode opératoire général du groupe comprend l’envoi d’e-mails de phishing qui se font passer pour des individus de la propre organisation de la victime ou d’organisations homologues impliquées dans la politique mondiale.

Ces e-mails usurpés sont souvent envoyés à partir de boîtes aux lettres associées à des domaines qui hébergent des sites Web WordPress vulnérables et ont été compromis.

Les messages consistent normalement en un lien vers ce qui semble être une ressource sur le propre site Web de l’organisation cible, mais mène en fait à une charge utile hébergée sur un domaine contrôlé par l’attaquant ou à une page de phishing d’informations d’identification.

Cette technique a récemment été améliorée avec un exploit pour une vulnérabilité de script intersite (XSS) reconnue dans Zimbra, une plateforme de collaboration et de messagerie d’entreprise open source qui peut être publiée dans le cloud ou sur la propriété.

Selon le site Web de Zimbra, son logiciel de messagerie alimente plusieurs millions de boîtes aux lettres dans 140 pays et est utilisé par  » les gouvernements, les entreprises, les universités et les petites/moyennes entreprises ».

Des scripts intersites à la falsification de requêtes intersites et au piratage de compte

L’utilisation de vu par Proofpoint dans les campagnes TA473 du début de cette année jusqu’au mois dernier, ciblée CVE-2022-27926, une vulnérabilité XSS de gravité moyenne que Zimbra a corrigée dans la version 9.0.0 Patch 24, un an plus tôt. Fait intéressant, la vulnérabilité n’est pas répertoriée sur la page des avis de sécurité de Zimbra, mais apparaît dans la version garde à l’esprit pour Zimbra 9.0.0 P24 avec des failles encore plus graves, y compris des failles vitales et à haut risque.

Un pourrait faire valoir que les organisations qui ont des déploiements Zimbra qui n’ont pas été mis à niveau depuis un an ont des pratiques de sécurité douteuses, en plus de nombreuses autres vulnérabilités à souligner.

Depuis, Zimbra a couvert au moins 3 autres failles XSS, consistant dans sa partie webmail, un contournement d’authentification des e-mails, un défaut de contrefaçon de requête côté serveur, des soucis d’authentification à deux facteurs ( 2FA) et l’exécution de code à distance dans les performances de téléchargement de fichiers.

Néanmoins, les attaques TA473 actuelles montrent comment même un XSS à risque moyen peut être armé pour un excellent impact par les adversaires.

Les vulnérabilités XSS reflétées permettent aux assaillants de créer des URL avec du code ajouté qui, s’il était ouvert par un utilisateur, exécuterait ce code malveillant dans son navigateur Web dans le contexte de ce site. En d’autres termes, comme si ce code avait été transmis par le site Web lui-même au navigateur Internet de l’utilisateur.

Dans ce cas, les assaillants ont d’abord identifié les entreprises du gouvernement fédéral utilisant des installations Zimbra et des interfaces utilisateur de messagerie Web sensibles.

Ils ont ensuite créé des e-mails de phishing avec des URL qui utiliseraient la faille XSS et exécuteraient du code JavaScript encodé. Dès qu’il est exécuté par le navigateur Web, ce bit JavaScript récupère une charge utile JavaScript plus importante à partir d’un serveur contrôlé par l’attaquant et l’exécute dans le contexte du site.

La charge utile JavaScript plus importante utilise plusieurs couches de d’encodage et est indiqué pour effectuer ce que l’on appelle une attaque de falsification de la demande intersite (CSRF).

Il s’agit d’une attaque dans laquelle la session vérifiée que le navigateur Web de l’utilisateur a avec un site Web particulier est détournée lors de la visite d’un site Web destructeur qui oblige le navigateur Web à exécuter des demandes sur le site Web cible à l’insu de l’utilisateur, s’appuyant sur leur session active.

La charge utile est une version du code JavaScript authentique qui existe sur le site Web avec toutes les personnalisations et URL spécifiques de la cible, dans laquelle Winter Vivern a injecté des routines et une logique particulières. Cela met en évidence un effort continu pour étudier le site Web de messagerie Web de chaque cible et désosser son code JavaScript.

Les fonctions nuisibles qui contribuent à la charge utile sont indiquées pour voler le nom d’utilisateur, le mot de passe et le jeton CSRF actif d’un cookie. , et les envoyer à un serveur contrôlé par l’attaquant.

Les sites utilisent des jetons CSRF qui doivent accompagner les demandes du navigateur Web pour éviter les attaques CSRF, mais comme les agresseurs dans ce cas ont la capacité d’exécuter du code dans le contexte du site Web via la faille XSS, ils peuvent simplement lire ce jeton.

Dès que les identifiants de connexion et le jeton sont pris, le script tente de se connecter au portail de messagerie en utilisant des URI codés en dur qui sont personnalisés pour le domaine ciblé et si l’authentification échoue, il a la capacité d’inviter les utilisateurs avec un message d’erreur et de demander à s’authentifier à nouveau.

« Dans certaines circonstances, les chercheurs ont observé que TA473 ciblait également spécifiquement les jetons de demande de messagerie Web RoundCube », a déclaré Proofpoint.  » Ce concentré approfondi sur le portail de messagerie Web géré par des entités gouvernementales européennes ciblées montre le niveau de reconnaissance que TA473 effectue avant de fournir des e-mails de phishing aux organisations. « 

Les chercheurs ont noté certaines ressemblances entre ces exploits pour CVE-2022-27926 et anciens exploits pour une ancienne vulnérabilité Zimbra XSS appelée CVE-2021-35207, car ils impliquent tous deux l’ajout de JavaScript exécutable au paramètre loginErrorCode d’une URL de connexion de messagerie Web. Cela montre qu’il est très important de maintenir les implémentations de Zimbra à peu près à jour, car les sites Web de messagerie Web sont une cible attrayante pour les groupes APT.

 » Il est fortement suggéré de restreindre les ressources sur les portails de messagerie Web accessibles au public à partir du Web public pour empêcher les groupes comme TA473 de reconnaissance et de conception de scripts personnalisés capables de prendre des qualifications et de se connecter aux comptes de messagerie Web des utilisateursâEUR ™ « , ont déclaré les scientifiques de Proofpoint.

 » Bien que TA473 ne soit pas en tête du peloton en termes de sophistication parmi les dangers APT ciblant le cyber-paysage européen, il fait preuve de concentration, de détermination et d’un processus reproductible pour compromettre les cibles géopolitiquement exposées. « 

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici