www.lubbersdejong.nlProgressCommunications.euwww.marcommit.nl
ProgressCommunications.euINFLUX PRProgressCommunications.eu

x.com/ictberichten
Deel dit nu via
Datum: (2 jaar en 45 dagen geleden)
Bedrijf:
PR: AxiCom

Cybergroep richt zich op Europese overheidsfunctionarissen met phishingaanvallen

Onderzoekers van Proofpoint hebben een groep cybercriminelen ontdekt genaamd TA473, ook wel bekend als Winter Vivern. Deze groep richt zich op militaire, overheids- en diplomatieke bedrijven in Europa die betrokken zijn bij de Russisch-Oekraïense oorlog. Ze maken gebruik van een kwetsbaarheid in Zimbra software om ongepatchte webmail portals te vinden die bij deze bedrijven horen en versturen phishing e-mails met besmette URL's. Zo maken ze misbruik van de kwetsbaarheid. De criminelen besteden veel tijd aan het bestuderen van elke webmailportal om Cross Site Request Forgery(CSRF) uit te voeren en zo gebruikersnamen, wachtwoorden, actieve sessies en CSRF-tokens te stelen van cookies. Op deze manier kunnen ze inloggen op openbaar toegankelijke webmailportals van organisaties die aangesloten zijn bij de NAVO.

"We hebben TA473's activiteiten al ongeveer twee jaar gevolgd en met name hun vastberadenheid is opvallend", aldus Michael Raggi, Threat Researcher bij Proofpoint. "Deze groep richt zich op Amerikaanse en Europese functionarissen, evenals militair en diplomatiek personeel in Europa. Sinds eind 2022 hebben ze veel tijd besteed aan het bestuderen van de webmailportals van Europese overheidsinstanties en het scannen van publiekelijk toegankelijke infrastructuur op kwetsbaarheden. Het doel hiervan is om toegang te krijgen tot de e-mails van degenen die nauw betrokken zijn bij overheidszaken en de Russisch-Oekraïense oorlog."

Over TA473
TA473, is een groep cybercriminelen die phishingaanvallen gebruikt om kwaadaardige software te verspreiden en gevoelige informatie te stelen via phishing-e-mails. Sinds 2021 richt de groep zich vooral op Europese overheden, militaire instanties en diplomaten. Maar in 2022 hebben ze ook geprobeerd Amerikaanse politici en werknemers te misleiden met phishing-e-mails. Sinds de oorlog tussen Rusland en Oekraïne zien de onderzoekers van Proofpoint een patroon in de doelwitten, de neppe profielen en bedrijven die de groep inzet. Meestal zijn de slachtoffers experts op het gebied van Europese politiek of economie in regio's die getroffen worden door de oorlog en hebben de neppe bedrijven en lokmiddelen te maken met Oekraïne en het conflict daar.

Hoe ziet een aanval van TA473 eruit?
Proofpoint heeft opgemerkt dat TA473 sinds 2021 veranderingen heeft aangebracht in hun aanvalsmethoden. Hoewel ze soms gebruik maken van populaire kwetsbaarheden zoals "Follina", zijn hun phishingmethoden meestal hetzelfde bij elke aanval. Deze cybercriminelen hebben een vast aanvalspatroon, waarbij ze verschillende technieken gebruiken om hun doelwitten, zowel Amerikaanse als Europese, te treffen. Ze proberen inloggegevens te verzamelen, schadelijke software te installeren en CSRF-aanvallen uit te voeren.
  1. TA473 stuurt e-mails van e-mailadressen die zijn overgenomen door cybercriminelen. Deze e-mails komen vaak van domeinen die worden gehost door WordPress. Op het moment dat de criminelen toegang krijgen tot het domein, zijn deze nog niet voorzien van de laatste beveiligingsupdates of patches.
  2. TA473 probeert de e-mails eruit te laten zien alsof ze van iemand binnen het bedrijf komen dat het doelwit is, of van een bedrijf dat betrokken is bij wereldwijde politiek. Dit doen ze om de ontvangers te misleiden en te laten denken dat de e-mail legitiem is.
  3. TA473 voegt een veilig uitziende link toe aan de e-mail die lijkt te komen van de organisatie die ze willen aanvallen of van een relevante organisatie in de wereldpolitiek.
  4. Na het toevoegen van deze URL aan de e-mail, gebruikt TA473 een geïnfecteerde infrastructuur om de ontvanger door te sturen naar een website waar kwaadaardige code wordt geïnstalleerd of waar inloggegevens worden verzameld.
  5. TA473 gebruikt vaak speciale paden voor Uniform Resource Identifiers (URI) die informatie bevatten over de persoon die het doelwit is (deze informatie is gehasht), de organisatie waartoe deze persoon behoort en soms gecodeerde of niet-gecodeerde versies van de onschadelijke URL die in de oorspronkelijke e-mail naar de doelwitten zijn gestuurd. Dit wordt gedaan om de aanval te personaliseren en af te stemmen op het doelwit.

Een e-mail van TA473 met een link naar een gevaarlijke website die in handen is van een aanvaller.

TA473 gebruikt een vastberaden en gerichte aanpak om kwetsbaarheden te vinden en te exploiteren in ongepatchte systemen. Door intensief onderzoek en het bestuderen van publieke webmailportals kunnen ze hun aanvalsscripts aanpassen aan specifieke doelen, waardoor hun aanvallen zeer effectief zijn. Proofpoint onderzoekers raden aan om alle versies van Zimbra Collaboration te patchen en de toegang te beperken om te voorkomen dat aangepaste scripts worden gebruikt om inloggegevens te stelen. Hoewel TA473 misschien niet de meest geavanceerde cybergroep is die zich richt op Europa, blijft hun focus, volharding en herhaalbare proces om geopolitieke doelen te compromitteren een aanhoudende dreiging het hele jaar door.
Geplaatst:
Verstreken tijd: 2 jaar en 45 dagen
Proofpoint contact  

Logo Proofpoint
  +44 (0)118 402 5900
  info-bnl@proofpoint.com
  www.proofpoint.com

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo E-mergo
Logo Axians
Logo RawWorks B.V.
Logo Easystart Office
Logo Nautilus OT
Logo Northwave Cyber Security
Logo Companial
Logo 9altitudes Nederland BV
Logo ClockAssist
Logo Human Journey
Logo The Factory
Logo Hively Nederland B.V.
Logo Reflex Online BV
Logo Awareways
Logo Decos
Logo E-mergo
Logo Networking4ALL
Logo Frontline Solutions
Logo Nautilus OT
Logo Northwave Cyber Security
Logo Techone B.V.
Logo Frontline Solutions
Logo Frontline Solutions
Logo Guardian360 bv
Logo Techone B.V.
Logo BarTrack
Logo Facilitor
Logo Twenty Four Webvertising
Logo SCOS Automaton BV
Logo SCOS Automaton BV
Logo Aronto
Logo Marketingscriptie.nl
Logo Kaspersky
Logo NetApp
Logo reev
Logo Pegasystems
Logo NOBEARS
Logo Lightspeed
Logo Conclusion MBS
Logo Bo5 - online marketing
Logo NTT DATA
Logo Vertiv
Logo Techleap.nl
Logo AvePoint
Logo Bidfood
TARIEVEN
• Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
100718 persberichten
6766 bedrijfsprofielen
53 PR-bureauprofielen
15341 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
www.lubbersdejong.nlProgressCommunications.euwww.marcommit.nl
ProgressCommunications.euINFLUX PRProgressCommunications.eu