- Nhóm APT Winter Vivern hay còn gọi là TA473 (UAC-0114) đang tiến hành chiến dịch tấn công mạng nhằm mục tiêu vào các tổ chức chính phủ ở Châu Âu và Hoa kỳ thông qua lỗ hổng trên Zimbra.

Kể từ tháng 2/2023, Winter Vivern đã lợi dụng lỗ hổng chưa được cập nhật bản vá trong các cổng webmail trên Zimbra, lỗ hổng này cho phép đối tượng tấn công có quyền truy cập vào hộp thư email của các tổ chức Chính phủ ở Châu Âu.

Ngoài ra, nhóm APT này còn liên quan đến các cuộc tấn công nhằm vào tổ chức Chính phủ các nước như Ukraine, Ba Lan, Ấn Độ, Litva, Slovakia và Vatican.

Lỗ hổng bảo mật CVE-2022-27926 có điểm CVSS: 6.1 (Trung bình), ảnh hưởng đến Zimbra Collaboration, cho phép đối tượng tấn công thực thi mã JavaScript hoặc HTML tùy ý mà không cần xác thực.

Nhóm tấn công sử dụng công cụ quét (scan) như Acunetix để xác định webmail chưa cập nhật bản vá của các tổ chức mục tiêu, sau đó gửi email lừa đảo có chứa các đường link liên kết đến những trang web độc hại.

Lỗ hổng này khai thác lỗi Cross-site scripting (XSS) trong Zimbra để thực thi các playload JavaScript độc hại trong webmail của người dùng, nhằm đánh cắp tên đăng nhập, mật khẩu và mã token để thực hiện truy cập trái phép.

Điều đáng chú ý là mỗi playload đều được điều chỉnh cho phù hợp với webmail được nhằm mục tiêu, cho thấy đối tượng tấn công đã đầu tư thời gian và tài nguyên để tránh khả năng bị phát hiện.

Để đảm bảo an toàn thông tin cho hệ thống thông tin của các cơ quan, tổ chức cần thực hiện kiểm tra, rà soát và cập nhật bản vá các lổ hổng bảo mật kịp thời cho các sản phẩm công nghệ thông tin đang sử dụng. Đồng thời, sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng.

PV