俄罗斯TAG-70黑客组织攻击欧洲邮件服务器获取政治和军事情报

与俄罗斯有关联的攻击者TAG-70以乌克兰、格鲁吉亚和波兰的邮件服务器为目标，旨在收集有关欧洲政治和军事活动的情报，特别是与乌克兰战争有关的情报。由于与俄罗斯有关的TAG-70组织针对欧洲政府，80个组织的电子邮件服务器遭到破坏。

Recorded Future的Insikt Group已识别出TAG-70，这是一个潜在的威胁参与者，据称为白俄罗斯和俄罗斯工作，自2020年12月以来针对欧洲和中亚的政府、军事和基础设施实体。最新一轮攻击是在2023年10月至12月期间观察到的。

该组织也称为Winter Vivern、TA-473和UAC-0114。根据Insikt Group的报告(PDF)，Tag-70被发现利用欧洲Roundcube 网络邮件服务器中的跨站脚本(XSS)漏洞。

该组织主要针对格鲁吉亚、波兰和乌克兰的政府、军事和国家基础设施，同时在比利时、法国、捷克共和国、德国和英国也发现了目标。

据报道，TAG-70使用社会工程技术未经授权访问80个组织的邮件服务器，其中包括伊朗驻莫斯科和荷兰大使馆以及格鲁吉亚驻瑞典大使馆。

该活动旨在收集有关欧洲政治和军事事务的情报，可能获得战略优势或破坏欧洲安全和联盟。服务器主要受到影响的是乌克兰（30.9%）、格鲁吉亚（13.6%）和波兰（12.3%）。

此间谍攻击使用鱼叉式网络钓鱼电子邮件来传递JavaScript有效负载，利用跟踪为CVE-2023-563的Roundcube漏洞。恶意代码使用户退出Roundcube，并显示一个新的登录窗口。

该零日漏洞允许对80个组织的邮件服务器进行未经授权的访问，其中包括运输、教育、化学和生物研究部门。该活动与 BlueDelta和Sandworm等其他与俄罗斯结盟的威胁组织之前的活动类似，这些组织也针对Roundcube等电子邮件解决方案。

受损的电子邮件服务器对乌克兰的战争努力、外交关系和联盟伙伴构成重大风险。研究人员警告说，针对包括Roundcube在内的网络邮件软件平台的网络间谍组织可能会泄露有关乌克兰国防努力、伙伴国家和第三方合作的敏感信息。他们预测，随着乌克兰冲突的持续以及与欧盟和北约的紧张局势加剧，这些组织将继续针对这些平台。

组织必须修补Roundcube安装、检测妥协指标(IoC)，并实施强大的网络安全措施来减轻威胁。其他有效的安全措施包括加强电子邮件安全、优先加密、安全电子邮件网关、定期审核、员工意识培训和网络分段。复杂的攻击方法和潜在的国家安全影响凸显了警惕和认识的必要性。