ESET предупредила, что русскоязычная хакерская группа Winter Vivern (она жеTA473) эксплуатирует XSS-уязвимость нулевого дня в Roundcube Webmail для атак на европейские правительственные учреждения и аналитические центры.
«Winter Vivern расширила свои операции, используя уязвимость нулевого дня в Roundcube. Ранее эта группа уже использовала известные уязвимости в Roundcube и Zimbra, PoC-эксплоиты для которых были доступны в интернете, — сообщает ESET. — Группа представляет угрозу для правительств европейских стран благодаря своей организованности, регулярному проведению фишинговых кампаний, а также тому, что значительное количество доступных через интернет приложений не получают регулярных обновлений, хотя известно, что они содержат уязвимости».
По данным исследователей, обнаруженные атаки продолжаются как минимум с 11 октября 2023 года. В настоящее время 0-day уязвимость в Roundcube Webmail, получившая идентификатор CVE-2023-5631, уже исправлена разработчиками.
Патч вышел через пять дней после первого обнаружения атак. Известно, что проблема затрагивала Roundcube версий от 1.6.x до 1.6.4, от 1.5.x до 1.5.5 и от 1.4.x до 1.4.15.
Согласно результатам исследования ESET, хакеры использовали HTML-письма, содержащие специально подготовленные SVG-документы, позволявшие осуществлять удаленные инъекции произвольного JavaScript-кода.
В фишинговые письмах атакующие выдавали себя за сотрудников поддержки Outlook и пытались склонить потенциальных жертв к открытию вредоносных писем, после чего происходила эксплуатация 0-day уязвимости в Roundcube Webmail, и автоматически запускалась полезная нагрузка первого этапа. В итоге этот JavaScript-пейлоад, помогал злоумышленникам собирать и похищать электронные письма со взломанных серверов.
«Отправив специально подготовленный email, злоумышленники получали возможность загрузить произвольный JavaScript-код в контексте окна браузера пользователя Roundcube. При этом не требовалось никакого “ручного” вмешательства, не считая просмотра сообщения в браузере, — пишут аналитики ESET. — Итоговая полезная нагрузка может составить список папок и писем в текущей учетной записи Roundcube и передать все почтовые сообщения на управляющий сервер».
