TA473 使用 Zimbra 漏洞攻击欧洲与北约的邮件系统

近日，研究人员发现 TA473（Winter Vivern）利用 Zimbra
漏洞（CVE-2022-27926）攻击邮件系统门户网站。根据评估，攻击主要针对涉入俄乌冲突的欧洲军事、政府与外交组织。攻击者首先利用 Acunetix
等扫描工具来判断这些组织是否存在漏洞，以确定针对性攻击方式。在完成初步扫描后，攻击者会发送声称是政府公文的钓鱼邮件，并且在电子邮件中嵌入恶意 URL。在这些
URL 中已经部署了针对邮件系统的漏洞利用代码，会直接执行 JavaScript 恶意代码。

攻击者似乎投入了大量的时间研究每个目标的邮件系统，并且编写了定制化的 JavaScript 代码来执行 CSRF
攻击。恶意代码会窃取受害者的用户名、密码，并且从 Cookie 提取活跃会话与 CSRF Token，使攻击者可以登录北约相关国家组织的邮件系统。

TA473

TA473 被 DomainTools、Lab52、Sentinel One 与乌克兰 CERT 等组织命名为 Winter Vivern 和
UAC-0114。该攻击组织经常利用钓鱼邮件投递 PowerShell 与 JavaScript 恶意代码，最终收集各种凭据信息。自从 2021
年以来，研究人员发现该组织一直针对欧洲的政府、军事与外交组织发起攻击。甚至在 2022
年，该组织针对美国选举官员与工作人员也发起了攻击。自从俄乌冲突以来，持续恶化的地缘政治也推动该组织向利益相关方发起攻击。

网络钓鱼

TA473 经常“见缝插针”来进行攻击，例如利用各种大火的 1day 漏洞。例如 2022 年 5 月披露的
Follina（CVE-2022-30190）漏洞。最常见的是，攻击者在每个电子邮件中都使用类似的钓鱼技术。在针对美国与欧洲目标的攻击中，其网络钓鱼策略如下所示：

• TA473 从失陷电子邮件地址发送电子邮件，通常来自 WordPress 上托管的域名，这些网站由于未打补丁而遭到攻击
• TA473 伪造电子邮件的发件人，成为目标组织的用户或者参与全球政治领域的同行机构
• TA473 在电子邮件正文中包含来自目标组织或者相关同行的良性 URL
• TA473 将这些良性 URL 的超链接设置为自己的控制的攻击基础设施 URL，以此提供第一阶段的 Payload 或者重定向到凭据收集的登录页面
• TA473 通常使用结构化 URI 路径来指代目标，例如个人的哈希值与组织的代码

TA473
的电子邮件

利用 Zimbra 漏洞攻击邮件系统

从 2023 年年初开始，研究人员发现 TA473 利用 CVE-2022-27926 向欧洲政府实体发起钓鱼攻击。该漏洞主要影响 Zimbra
Collaboration 的 9.0 版本，由 /public/launchNewWindow.jsp 组件中的 XSS
漏洞触发，允许未经身份验证的攻击者通过请求参数执行任意 Web 脚本或者 HTML 代码。

事实上，TA473 将钓鱼邮件正文中的恶意 URL 伪装成良性 URL 的超链接。恶意 URL 会使用存在漏洞的网络邮件域名，并附加任意十六进制编码或纯文本
JavaScript 片段，该代码片段在初始网络请求中收到时作为错误参数执行。JavaScript 代码一旦被解码，就会下载后续的 JavaScript
恶意代码，主要执行 CSRF 从用户处窃取用户名、密码与 CSRF Token。

CSRF
攻击感染过程

研究人员指出，该漏洞的利用方式与 CVE-2021-35207 十分类似。后者影响的 Zimbra 版本更广，可以将可执行 JavaScript
代码添加到邮箱登录 URL 的 loginErrorCode 参数中。研究人员也发现了 TA473 利用 CVE-2022-27926 的变种：

经过十六进制编码的 JavaScript 代码的 URL

CyberChef
解码十六进制 JavaScript 代码

纯文本 JavaScript 代码的 URL

纯文本
JavaScript 代码

自定义构造 CSRF

研究人员跟踪发现了部分可能是自定义 CSRF JavaScript 代码的实例，这些代码通过 CVE-2022-27926 来进行攻击。TA473 将其作为
URL 超链接嵌入钓鱼邮件的正文中，这些 CSRF JavaScript 代码会由存在漏洞的邮件服务器执行。这些 JavaScript
代码复制并依赖于模拟本机 Web 邮件门户的 JavaScript 代码，以返回攻击目标的用户名、密码与 CSRF Token 等关键 Web
请求详细信息。

在某些情况下，研究人员观察到 TA473 专门针对 RoundCube 邮件系统的请求令牌也发起了攻击。这都表明 TA473
针对欧洲的攻击目标进行了详细地侦察与调研，是谋划已久的攻击。后续的恶意代码仍然利用多层 base64 编码来进行混淆，最多嵌套三层 base64 编码。

base64
编码的 JavaScript 代码

恶意 JavaScript 代码中也包含大量能够在邮件系统中执行的良性 JavaScript 代码。研究人员发现到 2023 年 2 月为止，恶意
JavaScript 代码具有以下主要功能：

1. 窃取用户名
2. 窃取密码
3. 从 Cookie 中窃取 CSRF Token
4. 将窃取数据回传给攻击者
5. 使用 Token 登录邮件系统
6. 其他功能
   a. 执行 POP3 与 IMAP 指令
   b. 尝试通过 URL 登录邮件系统

另外，这些恶意 JavaScript 代码也支持其他扩展功能：

• 获取日期与时间
• 获取账户名
• 将超时时间设置为 1000 秒
• 回传凭据信息
• 识别失败的登录，显示错误提示并且将 CSRF Token 与合法服务器同步
• 使用自定义硬编码 URI 结构登录邮件系统，该结构对攻击目标来说是唯一的
• 使用窃取的凭据与 Token 进行登录
• 显示攻击者控制的 Zimbra POP3 与 IMAP 登录页面
• 显示合法邮件登录窗口
• 通过 initLoginField 函数将用户名与密码输入到合法的邮件登录窗口
• 注销登录，并且在注销时检索 CSRF Token 回传给攻击者
• 检索 CSRF Token
• 利用 DOMParser 函数从字符串中获取 CSRF Token

窃取
CSRF Token

总结

TA473 坚持不懈地利用漏洞攻击那些未修复的邮件系统是该攻击者成功的关键因素，该组织不断提升对邮件系统的进攻能力，以便能够窃取用户名、密码与 CSRF
Token 进行窃取。这也表明该组织对特定目标的入侵是极富野心的，TA473 不是使用通用进行攻击，而是针对不同的目标进行定制化，每段 JavaScript
代码都是针对目标的邮件系统定制的。在针对欧洲的 APT 组织中，尽管 TA473 在纯技术角度上来说并不领先，但其专注与持久是独一无二的。

IOC

hxxps://oscp-avanguard[.]com/asn15180YHASIFHOP_<redacted>_ASNfas21/auth.jshxxps://oscp-avanguard[.]com/settingPopImap/SettingupPOPandIMAPaccounts.htmlhxxps://troadsecow[.]com/cbzc.policja.gov.plhxxps://bugiplaysec[.]com/mgu/auth.jshxxps://nepalihemp[.]com/assets/img/images/623930vahxxps://ocs-romastassec[.]com/redirect/?id=[target specific ID]&url=[Base64 Encoded Hyperlink URL hochuzhit-com.translate.goog/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&x_tr_pto=wapp]hxxps://ocspdep[.]com/inotes.sejm.gov.pl?id=[Target Specific SHA256 Hash]ocspdep[.]combugiplaysec[.]comoscp-avanguard[.]comtroadsecow[.]comnepalihemp[.]com

参考来源

[Proofpoint](https://www.proofpoint.com/au/blog/threat-insight/exploitation-
dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability)

.com/au/blog/threat-insight/exploitation-

dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability)

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。