Rus Bağlantılı Bilgisayar Korsanları, Roundcube Kusurları Aracılığıyla 80+ Kuruluşu Hedef Alıyor
Belarus ve Rusya ile uyumlu çıkarlarla faaliyet gösteren tehdit aktörleri, 80'den fazla kuruluşu hedef almak için Roundcube web posta sunucularındaki siteler arası komut dosyası çalıştırma (XSS) güvenlik açıklarından yararlanan yeni bir siber casusluk kampanyasıyla ilişkilendirildi.
Bu varlıklar öncelikle Gürcistan, Polonya ve Ukrayna'da bulunuyor ve izinsiz giriş setini TA473 ve UAC0114 olarak da bilinen Winter Vivern olarak bilinen bir tehdit aktörüne bağlayan Recorded Future'a göre. Siber güvenlik firması, bilgisayar korsanlığı ekibini Threat Activity Group 70 (TAG-70) takma adı altında takip ediyor.
Winter Vivern'in Roundcube e-posta sunucularındaki güvenlik açıklarından yararlanması, daha önce Ekim 2023'te ESET tarafından vurgulanmış ve e-posta yazılımlarını hedef aldığı bilinen APT28, APT29 ve Sandworm gibi Rusya bağlantılı diğer tehdit aktörü gruplarına katılmıştı.
En az Aralık 2020'den beri aktif olan düşman, Temmuz 2023'te Moldova ve Tunus'taki kuruluşlara sızmak için geçen yıl Zimbra Collaboration e-posta yazılımında şu anda yamalanmış bir güvenlik açığının kötüye kullanılmasıyla da bağlantılı.
Recorded Future tarafından keşfedilen kampanya, Ekim 2023'ün başından itibaren gerçekleşti ve Avrupa'nın siyasi ve askeri faaliyetleri hakkında istihbarat toplamak amacıyla ay ortasına kadar devam etti. Saldırılar, Mart 2023'te tespit edilen Özbekistan devlet posta sunucularına yönelik ek TAG-70 etkinliğiyle örtüşüyor.
Şirket, "TAG70, saldırı yöntemlerinde yüksek düzeyde karmaşıklık gösterdi" dedi. "Tehdit aktörleri, hükümet ve askeri kuruluşların savunmasını atlayarak, hedeflenen posta sunucularına yetkisiz erişim elde etmek için sosyal mühendislik tekniklerinden yararlandı ve Roundcube web posta sunucularındaki siteler arası komut dosyası güvenlik açıklarından yararlandı."
Saldırı zincirleri, kullanıcı kimlik bilgilerini bir komuta ve kontrol (C2) sunucusuna sızdırmak için tasarlanmış JavaScript yükleri sağlamak için Roundcube kusurlarından yararlanmayı içerir.
Recorded Future, TAG-70'in Rusya ve Hollanda'daki İran büyükelçiliklerini ve İsveç'teki Gürcistan Büyükelçiliği'ni hedef aldığına dair kanıtlar bulduğunu söyledi.
Açıklamada, "Rusya ve Hollanda'daki İran büyükelçiliklerinin hedef alınması, İran'ın diplomatik faaliyetlerini, özellikle de Ukrayna'da Rusya'ya verdiği desteği değerlendirmeye yönelik daha geniş bir jeopolitik çıkara işaret ediyor" denildi.
"Benzer şekilde, Gürcistan devlet kurumlarına yönelik casusluk, Gürcistan'ın Avrupa Birliği (AB) ve NATO üyeliği konusundaki isteklerini izleme konusundaki çıkarları yansıtıyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Cisco, Public PoC Exploit Release'den Sonra ISE Güvenlik Açığı Yamaları Düzeltti
CISA, 2019 ile 2024 yılları arasında yayımlanan 10 acil siber güvenlik direktifini emekliye kaldırdı
Çin Bağlantılı Hackerlar, VMware ESXi Zero-Days Uygulamasını Kullanarak Sanal Makinelerden Kaçtı
Cracked yazılımlar ve YouTube videoları CountLoader ve GachiLoader Zararlı Yazılımını Yaydı
Rusya Bağlantılı Hackerlar, Hesap Ele Geçirmeleri İçin Microsoft 365 Cihaz Kodu Oltalaması Kullanıyor
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor