Các tác nhân đe dọa hoạt động với lợi ích liên kết với Belarus và Nga đã được liên kết với một chiến dịch gián điệp mạng mới có khả năng khai thác lỗ hổng cross-site scripting (XSS) trong các máy chủ webmail Roundcube để nhắm mục tiêu hơn 80 tổ chức.
Các thực thể này chủ yếu được đặt tại Georgia, Ba Lan và Ukraine, theo Recorded Future, cho rằng sự xâm nhập được thiết lập cho một tác nhân đe dọa được gọi là Winter Vivern, còn được gọi là TA473 và UAC0114. Công ty an ninh mạng đang theo dõi trang phục hack dưới biệt danh Nhóm hoạt động đe dọa 70 (TAG-70).
Việc khai thác lỗ hổng bảo mật của Winter Vivern trong các máy chủ email Roundcube trước đó đã được ESET nhấn mạnh vào tháng 10/2023, tham gia các nhóm tác nhân đe dọa khác có liên quan đến Nga như APT28, APT29 và Sandworm được biết là nhắm mục tiêu vào phần mềm email.
Đối thủ, đã hoạt động ít nhất từ tháng 12/2020, cũng có liên quan đến việc lạm dụng lỗ hổng hiện đã được vá trong phần mềm email Zimbra Collaboration vào năm ngoái để xâm nhập vào các tổ chức ở Moldova và Tunisia vào tháng 7/2023.
Chiến dịch do Recorded Future phát hiện diễn ra từ đầu tháng 10/2023 và kéo dài đến giữa tháng với mục tiêu thu thập thông tin tình báo về các hoạt động chính trị và quân sự của châu Âu. Các cuộc tấn công trùng lặp với hoạt động bổ sung của TAG-70 nhằm vào các máy chủ thư của chính phủ Uzbekistan được phát hiện vào tháng 3/2023.
"TAG70 đã chứng minh mức độ tinh vi cao trong các phương thức tấn công của nó", công ty cho biết. "Các tác nhân đe dọa đã tận dụng các kỹ thuật kỹ thuật xã hội và khai thác các lỗ hổng kịch bản chéo trang web trong các máy chủ webmail Roundcube để truy cập trái phép vào các máy chủ thư được nhắm mục tiêu, vượt qua sự phòng thủ của các tổ chức chính phủ và quân đội."
Các chuỗi tấn công liên quan đến việc khai thác các lỗ hổng Roundcube để cung cấp các tải trọng JavaScript được thiết kế để trích xuất thông tin đăng nhập của người dùng đến máy chủ chỉ huy và kiểm soát (C2).
Recorded Future cho biết họ cũng tìm thấy bằng chứng về TAG-70 nhắm vào các đại sứ quán Iran ở Nga và Hà Lan, cũng như Đại sứ quán Gruzia tại Thụy Điển.
"Việc nhắm mục tiêu vào các đại sứ quán Iran ở Nga và Hà Lan cho thấy lợi ích địa chính trị rộng lớn hơn trong việc đánh giá các hoạt động ngoại giao của Iran, đặc biệt là liên quan đến sự ủng hộ của nước này đối với Nga ở Ukraine", báo cáo cho biết.
Tương tự, hoạt động gián điệp chống lại các thực thể chính phủ Gruzia phản ánh lợi ích trong việc giám sát nguyện vọng gia nhập Liên minh châu Âu (EU) và NATO của Gruzia".