Noticias

TA473 aprovecha una vulnerabilidad de Zimbra para llevar a cabo acciones de espionaje

Publicado

en

Recientemente se ha detectado que TA473, una amenaza avanzada persistente (APT), ha explotado una vulnerabilidad de Zimbra. El objetivo ha sido acceder a los correos que utilizan este programa informático y se sospecha que las intenciones son sustraer información sobre la situación actual de la guerra entre Rusia y Ucrania. Las víctimas han, de momento, sido organizaciones militares, gubernamentales y diplomáticas.

Este hecho ha salido a la luz gracias a que Proofpoint lleva rastreando a TA473 desde el año 2021. El modus operandi es el envío de un correo con un enlace desde el que se roban nombres de usuario, contraseñas y otras credenciales importantes, como las de inicio de sesión. La dificultad para detectar que se trata de una trampa radica en que se falsifica el correo electrónico para que parezca que es de confianza.

Así, los emails que reciben las víctimas a simple vista pueden considerarse de una organización que esté relacionada con la política global. Sin embargo, la realidad es que se trata de TA473 que, aprovechando una vulnerabilidad de Zimbra, está accediendo a datos sensibles y totalmente confidenciales. Los investigadores de Proofpoint son claros: hay que parchear todas las versiones de Zimbra cuanto antes.

TA473, un actor de amenazas de largo recorrido

Desde hace ya años, TA473 ha sido el responsable de varias campañas de phishing que se han realizado. Sin embargo, estas se orientaban a empresas o usuarios, sin ningún vínculo político. Pero Proofpoint, que lleva desde 2021 investigando los pasos que da este actor de amenazas, se ha dado cuenta de que su enfoque había cambiado últimamente destinando sus esfuerzos a organizaciones relacionadas con la política.

Esto, en el contexto de la guerra entre Rusia y Ucrania, ha hecho que Proofpoint haya desconfiado de las intenciones de espionaje. De hecho, también ha detectado campañas de phishing dirigidas a funcionarios y personas importantes de los Estados Unidos, así como a expertos en materia de economía y política relacionados con los países en conflicto. Por esto, la recomendación de parchear a Zimbra es crucial.

La forma de actuar de TA473

La manera en la que actúa TA473, también conocido como Winter Vivern, es siempre igual. Lo primero que hace es enviar correos desde direcciones comprometidas que, muchas veces, tienen el dominio en WordPress. Después, se falsifica el campo del email para que parezca que este procede de una fuente de confianza, similar a la de la organización a la que va dirigida el ataque. Esto es lo más complicado de detectar.

Seguidamente, dentro de los correos se incluye una URL totalmente inocente que estará controlada por TA474. Por tanto, aunque parezca inofensiva, en realidad terminará redirigiendo a una página para que la víctima introduzca las credenciales que el actor de amenazas, posteriormente, robará.

El motivo por el que es difícil detectar que estos emails son phishing es porque la URL puede ser de la organización de destino. Sin embargo, el link que realmente la enlaza no es el mismo. Por lo tanto, conviene estar muy atentos a cuando se hace clic en un hipervínculo y verificar si el enlace continúa siendo igual o ha cambiado algo en él.

CVE-2022-27926, la vulnerabilidad de Zimbra

CVE-2022-27926 es el nombre de la vulnerabilidad de Zimbra sobre la que se han dirigido todas las miradas. Cuando se vincula una URL inocente con una URL maliciosa, TA473 se está aprovechando de ella. En el momento en el que un usuario hace clic, TA473 usa JavaScript para capturar nombres, contraseñas e inicios de sesión, entre otros datos que le pueden ser útiles.

Ahora que la situación se conoce, parchear las versiones de Zimbra y restringir el acceso a los recursos en las páginas web es una recomendación que dan desde Proofpoint. No obstante, parece ser que esta será una amenaza que estará presente a lo largo de todo este año, por lo que habrá que mantenerla vigilada.

Lo más leído

Salir de la versión móvil