У звіті компанії Proofpoint, яка спеціалізується на питаннях безпеки, цю групу називають TA473. Інші компанії відстежують її під назвою Winter Vivern. Вона використовує постійну розвідку і ретельні дослідження, щоб переконатися, що скрипти викрадають імена користувачів, паролі та інші конфіденційні облікові дані для входу в систему на кожному загальнодоступному поштовому порталі, на який націлена атака.
Цікаво Хакери пограбували біткойн-банкомати на півтора мільйона доларів
Що відомо
Дослідники кажуть, що хакери "націлені на американських і європейських чиновників, а також військовий і дипломатичний персонал у Європі".
З кінця 2022 року TA473 витратив чимало часу на вивчення поштових порталів європейських урядових установ і сканування публічної інфраструктури на наявність вразливостей, щоб в кінцевому підсумку отримати доступ до електронних листів тих, хто тісно пов'язаний з державними справами та російсько-українською війною,
– каже дослідник загроз Proofpoint Майкл Раггі.
Раггі відмовився назвати цілі, зазначивши лише, що вони включають обраних американських чиновників і співробітників на рівні федерального уряду, а також європейських організацій. "У кількох випадках, як серед американських, так і серед європейських організацій, особи, на яких спрямовані ці фішингові кампанії, є активними прихильниками України у російсько-українській війні та/або беруть участь в ініціативах, пов'язаних з підтримкою України на міжнародній арені".
Ці напади використовують стару вразливість CVE-2022-27926, яка була виправлена в березні минулого року. Однак не всі сервери встановили це оновлення, а тому залишаються беззахисними перед атакою.