- Výskumníci spoločnosti ESET zistili, že skupina Winter Vivern zneužíva zero-day XSS zraniteľnosť v službe Roundcube Webmail.
- Podľa telemetrie spoločnosti ESET sa kampaň zamerala na webmailové servery Roundcube patriace vládnym subjektom a think-tanku v Európe.
- Roundcube je open-source webmailový server používaný mnohými organizáciami. Roundcube zraniteľnosť opravil a po upozornení spoločnosťou ESET veľmi rýchlo vydal bezpečnostné aktualizácie.
- Okrem zobrazenia škodlivej e-mailovej správy vo webovom prehliadači nie je potrebná žiadna manuálna interakcia obete. V rámci finálnej fázy JavaScript útoku môžu útočníci exfiltrovať e-mailové správy na svoj riadiaci server.
Výskumníci spoločnosti ESET počas pravidelného monitorovania kybernetických špionážnych operácií skupiny Winter Vivern zistili, že skupina nedávno začala zneužívať zero-day XSS zraniteľnosť vo webmailovom serveri Roundcube. Pri útokoch XSS sú do inak dôveryhodných webových stránok vložené škodlivé skripty. Podľa telemetrických údajov spoločnosti ESET sa kampaň zamerala na webmailové servery Roundcube patriace vládnym subjektom a think-tanku, pričom všetky obete sa nachádzali v Európe. ESET odporúča čo najskôr aktualizovať Roundcube Webmail na najnovšiu dostupnú verziu.
Spoločnosť ESET objavila zraniteľnosť 12. októbra a okamžite ju nahlásila pracovníkom Roundcube, ktorí zraniteľnosť opravili a čoskoro, 14. októbra, vydali bezpečnostné aktualizácie. „Chceli by sme sa poďakovať vývojárom Roundcube za ich rýchlu odpoveď a za opravu zraniteľnosti v takom krátkom čase,“ hovorí výskumník spoločnosti ESET Matthieu Faou, ktorý zraniteľnosť a útoky Winter Vivern objavil.
„Winter Vivern je hrozbou pre vlády v Európe najmä pre svoju vytrvalosť, veľmi dôsledné vykonávanie phishingových kampaní a preto, že množstvo aplikácií na internete nie je pravidelne aktualizovaných napriek tomu, že je známe, že obsahujú zraniteľnosti,“ vysvetľuje Faou.
Zneužitie zraniteľnosti XSS CVE-2023-5631 je možné vykonať na diaľku odoslaním špeciálne vytvorenej e-mailovej správy. „Na prvý pohľad sa e-mail nezdá byť škodlivý - ak však preskúmame zdrojový kód HTML, na konci vidíme značku pre grafiku SVG, ktorá obsahuje škodlivý kód,“ hovorí Faou. Odoslaním špeciálne vytvorenej e-mailovej správy môžu útočníci načítať ľubovoľný kód JavaScript v okne prehliadača používateľa Roundcube. Nevyžaduje sa žiadna manuálna interakcia obete okrem zobrazenia správy vo webovom prehliadači. V rámci finálnej fázy JavaScript útoku môžu útočníci exfiltrovať e-mailové správy na svoj riadiaci server.
Winter Vivern je kybernetická špionážna skupina, o ktorej sa predpokladá, že je aktívna minimálne od roku 2020 a zameriava sa na vlády v Európe a Strednej Ázii. Na kompromitáciu svojich cieľov skupina používa škodlivé dokumenty, phishingové webové stránky a vlastný PowerShell backdoor. ESET sa s nízkou mierou istoty domnieva, že Winter Vivern je prepojená s MoustachedBouncer, sofistikovanou skupinou napojenou na Bielorusko, o ktorej sme prvýkrát informovali v auguste 2023. Winter Vivern sa minimálne od roku 2022 zameriava na e-mailové servery Zimbra a Roundcube patriace vládnym subjektom.
Viac technických informácií nájdete v našom špeciálnom blogu na portáli WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri (aktuálne X) ESET research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.