Tento článok je tlačová správa a je publikovaný bez redakčných úprav.

Výskumníci spoločnosti ESET počas pravidelného monitorovania kybernetických špionážnych operácií skupiny Winter Vivern zistili, že skupina nedávno začala zneužívať zero-day XSS zraniteľnosť vo webmailovom serveri Roundcube.

  • Výskumníci spoločnosti ESET zistili, že skupina Winter Vivern zneužíva zero-day XSS zraniteľnosť v službe Roundcube Webmail.
  • Podľa telemetrie spoločnosti ESET sa kampaň zamerala na webmailové servery Roundcube patriace vládnym subjektom a think-tanku v Európe.
  • Roundcube je open-source webmailový server používaný mnohými organizáciami.
  • Roundcube zraniteľnosť opravil a po upozornení spoločnosťou ESET veľmi rýchlo vydal bezpečnostné aktualizácie.
  • Okrem zobrazenia škodlivej e-mailovej správy vo webovom prehliadači nie je potrebná žiadna manuálna interakcia obete. V rámci finálnej fázy JavaScript útoku môžu útočníci exfiltrovať e-mailové správy na svoj riadiaci server.

Pri útokoch XSS sú do inak dôveryhodných webových stránok vložené škodlivé skripty. Podľa telemetrických údajov spoločnosti ESET sa kampaň zamerala na webmailové servery Roundcube patriace vládnym subjektom a think-tanku, pričom všetky obete sa nachádzali v Európe. ESET odporúča čo najskôr aktualizovať Roundcube Webmail na najnovšiu dostupnú verziu.

Spoločnosť ESET objavila zraniteľnosť 12. októbra a okamžite ju nahlásila pracovníkom Roundcube, ktorí zraniteľnosť opravili a čoskoro, 14. októbra, vydali bezpečnostné aktualizácie. „Chceli by sme sa poďakovať vývojárom Roundcube za ich rýchlu odpoveď a za opravu zraniteľnosti v takom krátkom čase,“ hovorí výskumník spoločnosti ESET Matthieu Faou, ktorý zraniteľnosť a útoky Winter Vivern objavil.

„Winter Vivern je hrozbou pre vlády v Európe najmä pre svoju vytrvalosť, veľmi dôsledné vykonávanie phishingových kampaní a preto, že množstvo aplikácií na internete nie je pravidelne aktualizovaných napriek tomu, že je známe, že obsahujú zraniteľnosti,“ vysvetľuje Faou.

Zneužitie zraniteľnosti XSS CVE-2023-5631 je možné vykonať na diaľku odoslaním špeciálne vytvorenej e-mailovej správy. „Na prvý pohľad sa e-mail nezdá byť škodlivý – ak však preskúmame zdrojový kód HTML, na konci vidíme značku pre grafiku SVG, ktorá obsahuje škodlivý kód,“ hovorí Faou. Odoslaním špeciálne vytvorenej e-mailovej správy môžu útočníci načítať ľubovoľný kód JavaScript v okne prehliadača používateľa Roundcube. Nevyžaduje sa žiadna manuálna interakcia obete okrem zobrazenia správy vo webovom prehliadači. V rámci finálnej fázy JavaScript útoku môžu útočníci exfiltrovať e-mailové správy na svoj riadiaci server.

Winter Vivern je kybernetická špionážna skupina, o ktorej sa predpokladá, že je aktívna minimálne od roku 2020 a zameriava sa na vlády v Európe a Strednej Ázii. Na kompromitáciu svojich cieľov skupina používa škodlivé dokumenty, phishingové webové stránky a vlastný PowerShell backdoor. ESET sa s nízkou mierou istoty domnieva, že Winter Vivern je prepojená s MoustachedBouncer, sofistikovanou skupinou napojenou na Bielorusko, o ktorej sme prvýkrát informovali v auguste 2023. Winter Vivern sa minimálne od roku 2022 zameriava na e-mailové servery Zimbra a Roundcube patriace vládnym subjektom.

Viac technických informácií nájdete v našom špeciálnom blogu na portáli WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri (aktuálne X) ESET research

Značky:

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.