与俄罗斯结盟的黑客在新的间谍活动中瞄准欧洲和伊朗大使馆

根据一份新报告，一个与俄罗斯有联系的黑客组织正在利用一个流行的网络邮件服务器中的已知漏洞来监视欧洲的政府和军事机构，以及伊朗驻俄罗斯大使馆。

在最近的一次间谍活动中，被追踪为 TAG-70 的黑客在基于 Web 的 Roundcube 电子邮件服务器中使用了跨站点脚本 （XSS） 漏洞。在 XSS 攻击期间，黑客会将恶意脚本注入到其他良性和受信任的网站中。

据Recorded Future的Insikt Group的研究人员称，该组织最新活动的目标是收集有关欧洲政治和军事活动的情报，“可能是为了获得战略优势或破坏欧洲安全和联盟”，他们分析了这些攻击并在慕尼黑安全会议上介绍了该主题。The Record 是 Recorded Future 的一个编辑独立单位。

2 月初，美国网络安全和基础设施安全局 （CISA） 将跟踪为 CVE-2023-43770 的 Roundcube 漏洞添加到其已知利用漏洞目录中。

“这些类型的漏洞是恶意网络行为者的常见攻击媒介，对联邦企业构成重大风险，”CISA说。

根据 Insikt Group 的报告，与 Winter Vivern 组织重叠的黑客可能在 2023 年 10 月初开始利用 Roundcube 网络邮件服务器，并至少持续到 10 月中旬。

Winter Vivern 至少自 2020 年 12 月以来一直很活跃，并可能进行网络间谍活动，以服务于白俄罗斯和俄罗斯的利益。研究人员说，该组织采用了先进的技术和工具，表明它是一个“资金充足且技术娴熟的威胁行为者，在其攻击方法中表现出高度的复杂性”。

它的受害者主要位于格鲁吉亚、波兰和乌克兰。报告称，针对伊朗驻俄罗斯和荷兰大使馆可能与“评估伊朗目前的外交活动和外交政策，尤其是在俄罗斯继续依赖伊朗在乌克兰提供的武器”的愿望有关。

研究人员表示，Winter Vivern 对 Roundcube 网络邮件服务器的攻击是针对归因于与俄罗斯结盟的威胁行为者的电子邮件软件的最新实例。

去年六月，Insikt研究人员发现，与Fancy Bear重叠的俄罗斯国家支持的网络间谍组织BlueDelta正在针对乌克兰各地易受攻击的Roundcube装置，并且之前曾利用Microsoft Outlook中的一个关键零日漏洞。

其他俄罗斯国家黑客，如Sandworm和Midnight Blizzard，也在各种活动中瞄准了电子邮件服务。

研究人员表示，Winter Vivern 对乌克兰构成重大威胁，因为受感染的电子邮件服务器可能会暴露有关乌克兰战争努力和计划、其关系以及与伙伴国家谈判的敏感信息。

去年 2 月，该组织用冒充合法国家服务的虚假网站上托管的恶意软件感染了乌克兰政府计算机。在 3 月份的活动中，Winter Vivern 瞄准了乌克兰、印度和欧洲的政府机构和电信运营商。

乌克兰网络安全机构没有回应有关乌克兰Roundcube黑客攻击目标的置评请求。