겨울 비버 해커들이 Zimbra 취약점을 이용해 나토의 이메일을 훔치고 있습니다.
TA473, '겨울 비버’로도 알려진 TA473은 2023년 2월부터 NATO 관계자 및 기타 정부 및 군인을 대상으로 패치되지 않은 Zimbra 엔드포인트의 취약점을 이용하여 공격하고 있습니다. 최근에는 유럽 연방 기관을 위해 만든 사이트를 사용하고 악성 링크가 포함된 사용자 감염 공격 이메일을 보내 Zimbra Collaboration 서버의 CVE-2022-27926를 타격하고 있습니다. 일부 경우에는 RoundCube 웹 메일 요청 토큰도 공격 대상으로 삼고 있습니다.
Winter Vivern hackers exploit Zimbra flaw to steal NATO emails
TA473, also known as ‘Winter Vivern,’ has been targeting NATO officials and other governments and military personnel by exploiting vulnerabilities in unpatched Zimbra endpoints since February 2023. Recently, they have been using sites mimicking European agencies and sending phishing emails containing malicious links to exploit CVE-2022-27926 on Zimbra Collaboration servers, which allow them to steal usernames, passwords, and tokens from cookies. They also target RoundCube webmail request tokens in some instances.