Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), federal ajansları, Rus hackerlar tarafından NATO ülkelerini hedefleyen saldırılarda e-postalar çalması için bir Zimbra İşbirliği (ZCS) sitesi komut dosyası komut dosyası kusurunu yamaya hazırladı.
Güvenlik açığı (CVE-2022-27926), yetkililerin, hükümetlerin, askeri personelin ve diplomatların e-posta posta kutularına erişmek için birden fazla NATO ile hizalanmış hükümet portallarına yapılan saldırılarda kış vivern ve TA473 olarak izlenen bir Rus hack grubu tarafından istismar edildi.
Winter Vivern'in saldırıları, savunmasız ZCS sunucularını bulmak ve alıcıların aşina oldukları parodi gönderen kimlik avı e -postaları göndermek için Acunetix araç güvenlik açığı tarayıcısını kullanarak bilgisayar korsanlarıyla başlar.
Her e-posta, hedefleri CVE-2022-27926 hatasını kullanan veya alıcıları kimlik bilgilerini teslim etmeye kandırmaya çalışan saldırgan kontrollü sunuculara yönlendirdi.
Bir istismarla hedeflendiğinde, URL'ler ayrıca Zimbra kullanıcılarının kimlik bilgilerini ve CSRF tokenlerini çalmak için bir saha arası istek ambalajı (CSRF) saldırısı başlatmak için ikinci aşamalı bir yük indirecek bir JavaScript snippet'i içerir.
Aşağıdaki adımlarda, tehdit aktörleri, ihlal edilen webmail hesaplarından hassas bilgiler almak veya zaman içinde değiş tokuş edilen e -postaları takip etmek için kalıcılığı korumak için çalınan kimlik bilgilerini kullandılar.
Bilgisayar korsanları, daha fazla kimlik avı saldırısı başlatmak ve hedeflenen kuruluşlara sızmasını genişletmek için tehlikeye atılan hesaplardan da yararlanabilir.
Güvenlik açığı bugün CISA'nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna, vahşi doğada aktif olarak sömürüldüğü bilinen güvenlik kusurlarının bir listesine eklendi.
ABD Siber Güvenlik Ajansı tarafından Kasım 2021'de yayınlanan bağlayıcı bir operasyonel direktife (BOD 22-01) göre, Federal Sivil Yürütme Şube Ajansları (FCEB) ajansları, KEV listesine eklenen böceklere karşı ağlarında savunmasız sistemleri yamalıdır.
CISA, FCEB ajanslarına 24 Nisan'a kadar üç hafta, ağlarını CVE-2022-27926 kusurunu hedefleyecek saldırılara karşı güvence altına almak için verdi.
BOD 22-01 yalnızca FCEB ajansları için geçerli olsa da, CISA ayrıca tüm kuruluşları bu hataları daha fazla sömürü girişimlerini engellemek için ele almaya öncelik vermeye şiddetle çağırdı.
CISA, "Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır."
Perşembe günü, CISA ayrıca, federal ajanslara, Google'ın Tehdit Analiz Grubu'nun (TAG) yakın zamanda açıkladığı gibi, Android ve iOS mobil cihazlarına ticari casus yazılımları dağıtmak için son saldırılarda sıfır gün olarak kullanılmayan güvenlik açıklarını yamalama emretti.
Kış Vivern Hacker'ları NATO e -postalarını çalmak için Zimbra Kusurdan İstismar
CISA, ajanslara casus yazılımları bırakmak için sömürülen böcekleri yamaya sipariş eder
Kış Vivern APT Hacker'ları kötü amaçlı yazılım yüklemek için sahte antivirüs taramaları kullanır
Cisa, sıfır gün olarak sömürülen Adobe Coldfusion Bug hakkında uyarıyor
Cisa, LastPass ihlalinden sonra aktif olarak sömürülen plex hatası konusunda uyarıyor
Kaynak: Bleeping Computer