A ottobre durante il monitoraggio delle operazioni di cyberspionaggio di Winter Vivern, Eset ha scoperto che questo gruppo ha iniziato a sfruttare una vulnerabilità XSS zero-day nel server Webmail Roundcube. In un attacco XSS, script dannosi sono stati immessi in siti web ritenuti affidabili. Secondo i dati di telemetria di Eset, l’attacco ha preso di mira i server Webmail Roundcube appartenenti a enti governativi e a un think tank, tutti in Europa. ESET Research consiglia di aggiornare Roundcube Webmail all’ultima versione disponibile il prima possibile.
Una risposta immediata
Eset ha scoperto la vulnerabilità il 12 ottobre e l’ha immediatamente segnalata agli sviluppatori di Roundcube, che l’hanno patchata e hanno rilasciato gli aggiornamenti di sicurezza il 14 ottobre.
Eset scopre un attacco di Winter Vivern a Roundcube
Matthieu Faou, ricercatore Eset
Desideriamo ringraziare il team di Roundcube per la rapidità della risposta e per aver applicato la patch alla vulnerabilità in tempi così brevi. Winter Vivern è una minaccia per i governi europei a causa della sua persistenza, dell’esecuzione massiccia di campagne di phishing. Oltre che del numero significativo di applicazioni rivolte a Internet che non vengono aggiornate regolarmente nonostante sia noto che contengono vulnerabilità.
Un’e-mail apparentemente innocua
Lo sfruttamento della vulnerabilità XSS CVE-2023-5631 può essere effettuato da remoto inviando un messaggio di posta elettronica appositamente creato.
Attacco di Winter Vivern
Matthieu Faou, ricercatore Eset
A prima vista, l’e-mail non sembra dannosa. Tuttavia, se esaminiamo il codice sorgente HTML, possiamo vedere un tag per la grafica SVG che contiene un payload dannoso codificato.
L’attenzione non è mai troppa
Inviando un messaggio e-mail appositamente creato, gli aggressori sono in grado di caricare codice JavaScript arbitrario nel contesto della finestra del browser dell’utente di Roundcube. Non è richiesta alcuna interazione manuale oltre alla visualizzazione del messaggio in un browser web. Il payload JavaScript finale può esfiltrare i messaggi e-mail e trasferirli al server C&C del gruppo.
Come agiscono gli aggressori
Winter Vivern è un gruppo di cyberspionaggio che si ritiene sia attivo almeno dal 2020 e prende di mira entità governative dell’Europa e dell’Asia centrale. Per compromettere i suoi obiettivi, il gruppo utilizza documenti dannosi, siti web di phishing e una backdoor PowerShell personalizzata. Eset ritiene poco probabile che Winter Vivern sia collegato a MoustachedBouncer, gruppo avanzato allineato alla Bielorussia di cui il vendor ha dato notizia per la prima volta nell’agosto 2023. Winter Vivern ha preso di mira i server e-mail Zimbra e Roundcube appartenenti a enti governativi almeno dal 2022.