ESET 研究團隊已經密切追蹤 Winter Vivern 的網絡間諜行動超過一年。在我們的例行監測中,我們發現該組織從 2023 年 10 月 11 日開始利用 Roundcube Webmail 伺服器中的一個零日 XSS 漏洞進行攻擊。根據 ESET 的遙測數據,這是一個與 CVE-2020-35730 不同的漏洞,該攻擊活動針對歐洲政府實體和一個智庫的 Roundcube Webmail 伺服器。
Winter Vivern 是一個由 DomainTools 於 2021 年首次揭示的網絡間諜組織。根據推測,該組織至少從 2020 年開始活動,其目標是歐洲和中亞的政府機構。為了達成入侵目標,他們使用了惡意文件、釣魚網站和自定義的 PowerShell 後門,並自 2022 年開始,一直在針對屬於政府機構的 Zimbra 和 Roundcube 電子郵件伺服器進行攻擊。我們觀察到該組織在 2023 年 8 月和 9 月利用了 Roundcube 中的另一個 XSS 漏洞 CVE-2020-35730。請注意,Sednit(也稱為 APT28)也在利用這個舊的 Roundcube XSS 漏洞對同一目標進行攻擊。
利用分配給 CVE-2023-5631 的 XSS 漏洞,攻擊者可以通過發送特殊製作的電子郵件消息進行遙距攻擊。在這次 Winter Vivern 的攻擊活動中,電子郵件是從 team.managment@outlook[.]com 發送的,主題為 "Get started in your Outlook",如圖 1 所示。
Winter Vivern 通過利用 Roundcube 的零日漏洞加強了其行動。此前,他們已經利用了 Roundcube 和 Zimbra 中已知的漏洞,而這些漏洞的概念證明已在網上公開。儘管該組織的工具集的複雜性較低,但由於他們持續存在並非常頻繁地進行釣魚活動,以及大量與互聯網相關的應用程式未定期更新,即使已知漏洞的存在,Winter Vivern 也對歐洲政府構成一定的威脅。
關於Version 2
Version 2 是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。