• ESET-onderzoekers ontdekten dat de groep Winter Vivern een zero-day XSS-kwetsbaarheid in Roundcube Webmail heeft uitgebuit.
• Volgens telemetrie van ESET was de campagne gericht op Roundcube Webmail-servers van overheidsinstanties en een denktank in Europa.
• Roundcube is een open-source webmailserver die door veel verschillende organisaties wordt gebruikt.
• Roundcube heeft de kwetsbaarheid snel verholpen en beveiligingsupdates uitgebracht nadat ESET het bedrijf op de hoogte had gesteld.
• Behalve het bekijken van het schadelijke e-mailbericht in een webbrowser is geen handmatige interactie vereist. De uiteindelijke JavaScript payload kan e-mailberichten exfiltreren naar de commando- en controleserver van de groep.
Sliedrecht, 25 oktober 2023 –ESET-onderzoekers ontdekten tijdens hun regelmatige monitoring van de cyberspionage-activiteiten van Winter Vivern, dat de groep onlangs is begonnen met het uitbuiten van een zero-day XSS-kwetsbaarheid in de Roundcube Webmail-server. Bij een XSS-aanval worden kwaadaardige scripts geïnjecteerd in websites die anders vertrouwd zouden zijn. Volgens telemetriegegevens van ESET was de campagne gericht op Roundcube Webmail-servers van overheidsinstanties en een ‘think tank’ (denktank) denktank, allemaal in Europa. ESET Research raadt aan om Roundcube Webmail zo snel mogelijk te updaten naar de laatst beschikbare versie.
ESET ontdekte de kwetsbaarheid op 12 oktober. Dit werd onmiddellijk gemeld aan het Roundcube-team, dat de kwetsbaarheid snel daarna, op 14 oktober, patchte en beveiligingsupdates uitbracht. "We willen de ontwikkelaars van Roundcube bedanken voor hun snelle antwoord en voor het patchen van de kwetsbaarheid in zo'n kort tijdsbestek," zegt ESET-onderzoeker Matthieu Faou, die de kwetsbaarheid en de Winter Vivern-aanvallen ontdekte.
Hoewel ESET Research MoustachedBouncer volgt als een afzonderlijke groep, hebben we elementen gevonden die ESET met een laag vertrouwen laten inschatten dat het samenwerkt met een andere actieve spionagegroep, Winter Vivern. Zij hebben in 2023 overheidsmedewerkers van verschillende Europese landen, waaronder Polen en Oekraïne, als doelwit gekozen.
"Winter Vivern is een dreiging voor overheden in Europa vanwege de hardnekkigheid, de zeer consistente uitvoering van phishing-campagnes en omdat een aanzienlijk aantal internet-toepassingen niet regelmatig wordt bijgewerkt, ondanks het feit dat bekend is dat ze kwetsbaarheden bevatten," legt Faou uit.
Uitbuiting van het XSS-lek CVE-2023-5631 kan op afstand worden gedaan door een speciaal ontworpen e-mailbericht te versturen. "Op het eerste gezicht lijkt de e-mail niet kwaadaardig - maar als we de HTML-broncode onderzoeken, zien we aan het einde een tag voor SVG-graphics die een gecodeerde kwaadaardige payload bevat," zegt Faou. Door een speciaal ontworpen e-mailbericht te versturen, kunnen aanvallers willekeurige JavaScript-code laden in de context van het browservenster van de Roundcube-gebruiker. Er is geen andere handmatige interactie nodig dan het bekijken van het bericht in een webbrowser. De uiteindelijke JavaScript payload kan e-mailberichten exfiltreren naar de commando- en controleserver van de groep.
Winter Vivern is een cyberspionagegroep die vermoedelijk al sinds 2020 actief is en zich richt op overheden in Europa en Centraal-Azië. Om zijn doelwitten te compromitteren, gebruikt de groep schadelijke documenten, phishing-websites en een aangepaste PowerShell-backdoor. ESET gelooft met een laag vertrouwen dat Winter Vivern gelinkt is aan MoustachedBouncer, een geraffineerde groep die gelieerd is aan Wit-Rusland en waarover we voor het eerst publiceerden in augustus 2023. Winter Vivern richt zich op Zimbra en Roundcube e-mailservers van overheidsinstanties sinds 2022.
Voor meer technische informatie over Winter Vivern, zijn nieuwste aanval en de Roundcube kwetsbaarheid, bekijk de blogpost "Winter Vivern exploiteert zero-day kwetsbaarheid in Roundcube Webmail servers" op WeLiveSecurity. Zorg ervoor dat je ESET Research volgt op Twitter (nu bekend als X) voor het laatste nieuws van ESET Research.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale dreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende dreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.