Hackers (που φέρεται να έχουν συμφέροντα παρόμοια με αυτά της Λευκορωσίας και της Ρωσίας) έχουν συνδεθεί με μια νέα εκστρατεία κατασκοπείας που έχει στοχεύσει πάνω από 80 οργανισμούς και ήταν δυνατή μέσω της εκμετάλλευσης cross-site scripting (XSS) ευπαθειών σε Roundcube webmail servers.
Ερευνητές της Recorded Future απέδωσαν τις επιθέσεις σε μια hacking ομάδα που είναι γνωστή ως Winter Vivern, TA473 και UAC0114. Η εταιρεία παρακολουθεί την ομάδα ως Threat Activity Group 70 (TAG-70). Οι οργανισμοί θύματα βρίσκονται κυρίως στη Γεωργία, την Πολωνία και την Ουκρανία.
Η εκμετάλλευση ευπαθειών Roundcube από τους hackers Winter Vivern είχε επισημανθεί και από την ESET τον Οκτώβριο του 2023. Η ομάδα είναι ενεργή τουλάχιστον από τον Δεκέμβριο του 2020 και είχε συνδεθεί πέρυσι με την κατάχρηση μιας επιδιορθωμένης πλέον ευπάθειας στο Zimbra Collaboration email software. Οι hackers είχαν χρησιμοποιήσει την ευπάθεια για να διεισδύσουν σε οργανισμούς στη Μολδαβία και την Τυνησία.
Δείτε επίσης: Το FBI “κατέρριψε” το Moobot botnet που χρησιμοποιούνταν από Ρώσους hackers
Η νέα εκστρατεία κατασκοπείας, που ανακάλυψε η Recorded Future, έλαβε χώρα από τις αρχές Οκτωβρίου 2023 και συνεχίστηκε μέχρι τα μέσα του μήνα με στόχο τη συλλογή πληροφοριών σχετικά με ευρωπαϊκές πολιτικές και στρατιωτικές δραστηριότητες.
“Η TAG70 έχει επιδείξει υψηλό επίπεδο πολυπλοκότητας στις μεθόδους επίθεσης“, δήλωσε η εταιρεία. “Οι hackers αξιοποίησαν τεχνικές social engineering και εκμεταλλεύτηκαν ευπάθειες cross-site scripting σε Roundcube webmail servers για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε στοχευμένους διακομιστές αλληλογραφίας, παρακάμπτοντας την άμυνα των κυβερνητικών και στρατιωτικών οργανισμών“.
Οι αλυσίδες επίθεσης περιλαμβάνουν την εκμετάλλευση ευπαθειών του Roundcube για την παράδοση JavaScript payloads που κλέβουν credentials χρήστη και τα στέλνουν σε έναν διακομιστή που ελέγχεται από τους hackers.
Η Recorded Future είπε ότι η ομάδα έχει στοχεύσει και τις ιρανικές πρεσβείες στη Ρωσία και την Ολλανδία, καθώς και την πρεσβεία της Γεωργίας στη Σουηδία.
Δείτε επίσης: SaaS: Πώς οι διεθνείς hackers επηρεάζουν την επιχείρησή σας
“Η στόχευση ιρανικών πρεσβειών στη Ρωσία και την Ολλανδία υποδηλώνει ένα ευρύτερο γεωπολιτικό ενδιαφέρον για την αξιολόγηση των διπλωματικών δραστηριοτήτων του Ιράν, ειδικά όσον αφορά την υποστήριξή του στη Ρωσία στην Ουκρανία“, ανέφερε.
“Ομοίως, η κατασκοπεία εναντίον γεωργιανών κυβερνητικών οντοτήτων αντανακλά συμφέροντα στην παρακολούθηση των φιλοδοξιών της Γεωργίας για ένταξη στην Ευρωπαϊκή Ένωση (ΕΕ) και στο ΝΑΤΟ“.
Πώς μπορούν οι οργανισμοί να προστατευτούν από τέτοιες επιθέσεις;
Οι οργανισμοί μπορούν να προστατευτούν από τέτοιες επιθέσεις μέσω της ενημέρωσης και της εκπαίδευσης του προσωπικού τους για τους κινδύνους της κυβερνοασφάλειας. Αυτό μπορεί να περιλαμβάνει την εκμάθηση σημαδιών κακόβουλης δραστηριότητας και των τρόπων αναφοράς της.
Επιπλέον, οι οργανισμοί μπορούν να εφαρμόσουν συστήματα ασφάλειας που περιλαμβάνουν προστασία από εισβολές, ανίχνευση και αποτροπή εισβολών, και προηγμένα συστήματα προστασίας από κακόβουλο λογισμικό.
Δείτε επίσης: Οι Ρώσοι hackers Turla στοχεύουν ΜΚΟ με το νέο TinyTurla-NG backdoor
Η εφαρμογή των τελευταίων ενημερώσεων και διορθώσεων ασφαλείας είναι επίσης ζωτικής σημασίας. Αυτό μπορεί να βοηθήσει στην προστασία από τις ευπάθειες του Roundcube που εκμεταλλεύονται οι hackers.
Τέλος, η δημιουργία ενός πλάνου αντίδρασης σε περίπτωση παραβίασης μπορεί να βοηθήσει τους οργανισμούς να αντιδράσουν γρήγορα και αποτελεσματικά σε περίπτωση επίθεσης.
Πηγή: thehackernews.com
 ευπάθειες σε Roundcube servers.){kind=link}