Agencias gubernamentales y un grupo de expertos en Europa fueron atacados por el grupo APT Winter Vivern. En este caso, los piratas informáticos utilizan los llamados ataques de secuencias de comandos entre sitios para aprovechar una vulnerabilidad de día cero en los servidores de correo web de Roundcube utilizados para luego leer correos electrónicos (confidenciales)..
Roundcube es un software de correo web de código abierto utilizado por muchos departamentos y organizaciones gubernamentales, como universidades e institutos de investigación. ESET recomienda que los usuarios actualicen a la última versión disponible del software lo antes posible. ESET descubrió la vulnerabilidad el 12 de octubre de 2023 y la informó inmediatamente al equipo de Roundcube, que parchó la vulnerabilidad con una actualización de seguridad dos días después. "Nos gustaría agradecer a los desarrolladores de Roundcube por su rápida respuesta y por parchear la vulnerabilidad en tan poco tiempo", dice Matthieu Faou, quien descubrió la vulnerabilidad y los ataques de Winter Vivern. “Winter Vivern es una inmensa amenaza para los gobiernos de Europa. Este grupo actúa con extrema obstinación para lograr su objetivo. “En sus actividades, recurren a campañas de phishing y explotan vulnerabilidades de seguridad, ya que muchas aplicaciones no se actualizan periódicamente”, explica Faou.
Ataque desde la distancia
La vulnerabilidad XSS CVE-2023-5631 en el servidor de destino se ataca con un correo electrónico especialmente diseñado. "A primera vista, el correo electrónico no parece ser malicioso, pero al examinar el código fuente HTML, se hace evidente que hay una etiqueta de gráficos SVG al final que contiene contenido malicioso", dice Faou. Al enviar un mensaje de este tipo, los atacantes pueden cargar código JavaScript arbitrario en la ventana abierta del navegador del usuario de Roundcube. No es necesaria la interacción del usuario para ejecutar el código malicioso. El malware descargado puede filtrar los correos electrónicos y enviarlos al servidor de comando y control del grupo.
Winter Vivern es un grupo de ciberespionaje que se cree que ha estado atacando gobiernos en Europa y Asia Central desde al menos 2020. Utiliza principalmente documentos maliciosos, sitios web de phishing y una puerta trasera PowerShell personalizada. Presumiblemente desde 2022, Winter Vivern se ha dirigido a los servidores de correo electrónico Roundcube de agencias gubernamentales. ESET cree que Winter Vivern está conectado con la banda de hackers bielorrusa MoustachedBouncer. Este último llamó la atención en agosto de 2023 al espiar las embajadas en Bielorrusia.
Más en Eset.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.