Des agences gouvernementales et un groupe de réflexion en Europe ont été attaqués par le groupe APT Winter Vivern. Ici, les pirates utilisent des attaques dites de cross-site scripting pour exploiter une vulnérabilité zero day dans les serveurs de messagerie Web Roundcube utilisés afin de lire ensuite les e-mails (confidentiels)..
Roundcube est un logiciel de messagerie Web open source utilisé par de nombreux ministères et organisations gouvernementaux tels que des universités et des instituts de recherche. ESET recommande aux utilisateurs de mettre à jour le logiciel vers la dernière version disponible dès que possible. ESET a découvert la vulnérabilité le 12 octobre 2023 et l'a immédiatement signalée à l'équipe Roundcube, qui a corrigé la vulnérabilité avec une mise à jour de sécurité deux jours plus tard. "Nous tenons à remercier les développeurs de Roundcube pour leur réponse rapide et pour avoir corrigé la vulnérabilité en si peu de temps", déclare Matthieu Faou, qui a découvert la vulnérabilité et les attaques Winter Vivern. « Winter Vivern constitue une immense menace pour les gouvernements européens. Ce groupe agit avec une extrême obstination pour atteindre son objectif. « Dans leurs activités, ils s'appuient sur des campagnes de phishing et exploitent des failles de sécurité, car de nombreuses applications ne sont pas mises à jour régulièrement », explique Faou.
Attaque à distance
La vulnérabilité XSS CVE-2023-5631 sur le serveur cible est attaquée avec un e-mail spécialement conçu. "À première vue, l'e-mail ne semble pas malveillant, mais en examinant le code source HTML, il devient évident qu'il y a une balise graphique SVG à la fin qui contient du contenu malveillant", explique Faou. En envoyant un tel message, les attaquants peuvent charger du code JavaScript arbitraire dans la fenêtre ouverte du navigateur de l'utilisateur Roundcube. Aucune interaction de l'utilisateur n'est nécessaire pour exécuter le code malveillant. Le malware téléchargé peut filtrer les e-mails et les envoyer au serveur de commande et de contrôle du groupe.
Winter Vivern est un groupe de cyberespionnage qui attaquerait des gouvernements d'Europe et d'Asie centrale depuis au moins 2020. Il utilise principalement des documents malveillants, des sites Web de phishing et une porte dérobée PowerShell personnalisée. Vraisemblablement depuis 2022, Winter Vivern cible les serveurs de messagerie Roundcube des agences gouvernementales. ESET pense que Winter Vivern est lié au gang de hackers biélorusse MoustachedBouncer. Cette dernière s’est fait remarquer en août 2023 en espionnant les ambassades en Biélorussie.
Plus sur Eset.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.