В отчете Proofpoint, специализирующейся на вопросах безопасности, эту группу называют TA473. Остальные компании отслеживают ее под названием Winter Vivern. Она использует постоянную разведку и тщательные исследования, чтобы убедиться, что скрипты воруют имена пользователей, пароли и другие конфиденциальные учетные данные для входа в систему на каждом общедоступном почтовом портале, на который нацелена атака.
Интересно Хакеры ограбили биткоин-банкоматы на полтора миллиона долларов
Что известно
Исследователи говорят, что хакеры "нацелены на американских и европейских чиновников, а также на военный и дипломатический персонал в Европе".
С конца 2022 года TA473 потратила немало времени на изучение почтовых порталов европейских правительственных учреждений и сканирование публичной инфраструктуры на наличие уязвимостей, чтобы в конечном итоге получить доступ к электронным письмам тесно связанных с государственными делами и российско-украинской войной,
– говорит исследователь угроз Proofpoint Майкл Рагги.
Рагги отказался назвать цели, отметив лишь, что они включают в себя избранных американских чиновников и сотрудников на уровне федерального правительства, а также европейских организаций. "В нескольких случаях, как среди американских, так и среди европейских организаций, лица, на которых направлены эти фишинговые кампании, являются активными сторонниками Украины в российско-украинской войне и/или участвуют в инициативах, связанных с поддержкой Украины на международной арене".
Эти нападения используют старую уязвимость CVE-2022-27926, которая была исправлена в марте прошлого года. Однако не все серверы установили это обновление, поэтому остаются беззащитными перед атакой.