악용은 차갑게 먹는 것이 좋습니다. 윈터 비버는 유명한 짐브라 취약점을 이용해 유럽의 나토 연합 정부의 웹 메일 포털을 대상으로 하고 있습니다. 관련 IOC 12개 발견
Proofpoint가 추적하는 새로 발견된 위협 주체 TA473이 러시아-우크라이나 전쟁에 관련된 정부, 군사 및 비영어 기관의 이메일에 액세스하기 위해 유명한 Zimbra 웹 메일 포털에 대한 CVE-2022-27926 취약점을 이용하고 있습니다. 그들은 Acunetix를 사용하여 취약한 포털을 검사하고 악성 URL이 포함된 사용자 정의 된 위험 이메일을 보내며, 자바 스크립트 페이로드를 작성하고 사용하여 크로스 사이트 요청 위조를 시도하고 있습니다. 믿음직하게 보아 러시아 및/또는 벨라루스의 지적 정치적 목표에 맞춰 그들의 행동이 일치하고 있다고 생각됩니다.
Proofpoint
Exploitation is a Dish Best Served Cold: Winter Vivern Uses Known Zimbra Vulnerability to Target Webmail Portals of NATO-Aligned Governments in Europe
TA473, a newly discovered threat actor tracked by Proofpoint, is exploiting the CVE-2022-27926 vulnerability in publicly facing Zimbra webmail portals across Europe to gain access to emails of government, military and diplomatic organizations involved in the Russia-Ukraine War. They are scanning vulnerable portals with Acunetix and sending phishing emails with malicious URLs, as well as writing and utilizing customized JavaScript payloads to conduct Cross Site Request Forgery, targeting credentials. It is believed that their actions are aligned with Russian and/or Belarussian geopolitical goals.
https://www.proofpoint.com/us/blog/threat-insight/exploitation-dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability