La compañía Proofpoint viene observando actividad reciente del grupo de ciberdelincuentes Winter Vivern, un grupo que se dedica al espionaje de organizaciones militares, gubernamentales y diplomáticas alineadas con la OTAN, y que están implicadas en la guerra entre Rusia y Ucrania.
El Winter Vivern realiza campañas de phishing para entregar payloads de PowerShell y JavaScript, así como campañas recurrentes de recolección de credenciales. Según la investigación de Proofpoint, estos ciberdelincuentes tienen a organizaciones europeas como objetivo desde 2021, pero no es hasta finales del año pasado cuando empiezan a dirigirse también a funcionarios de Estados Unidos. Sin embargo, el inicio de la guerra en Ucrania provoca que se centren en objetivos que son expertos en aspectos de la política o la economía europeas relacionados con las regiones afectadas. Cabe destacar que tanto los señuelos de ingeniería social como las organizaciones suplantadas suelen referirse a Ucrania en el contexto del conflicto durante estos ataques.
Desde febrero de este año, se ha rastreado una nueva amenaza avanzada persistente (APT) que explota una vulnerabilidad no parcheada de Zimbra, por la que el grupo Winter Vivern consigue acceder a los emails de funcionarios europeos y estadounidenses. Utilizan herramientas de escaneado como Acunetix para identificar portales de correo web sin parches pertenecientes a estas organizaciones e identificar métodos viables para atacar a las posibles víctimas.
Tras el reconocimiento inicial, los ciberdelincuentes envían correos de phishing que en el cuerpo contienen URLs maliciosas que abusan de dicha vulnerabilidad para ejecutar payloads JavaScript. Además, parecen pasar mucho tiempo estudiando los correos electrónicos de sus objetivos y escribiendo payloads a medida que les permitan robar nombres de usuario, contraseñas y almacenar tokens de sesión activa y CSRF a partir de cookies.
El enfoque y la persistencia de Winter Vivern en escanear y explotar vulnerabilidades sin parches son la clave de su éxito. En lugar de desarrollar herramientas y payloads más genéricas, invierten tiempo y recursos para comprometer objetivos específicos. Por estos motivos, los expertos de Proofpoint recomiendan encarecidamente parchear todas las versiones de Zimbra Collaboration utilizadas en los portales de correo web de acceso público, especialmente entre las entidades gubernamentales europeas. Además, se aconseja restringir los recursos de dichos portales para evitar que grupos como Winter Vivern reconfiguren y diseñen scripts personalizados capaces de robar credenciales e iniciar sesión en las cuentas de los usuarios.
