Hackergruppe nutzt Zero-Day-Schwachstelle aus

B2B Cyber Security ShortNews

Beitrag teilen

Regierungsstellen und ein Think Tank in Europa wurden von der APT-Gruppe Winter Vivern attackiert. Hierbei nutzen die Hacker mit sogenannten Cross-Site-Scripting-Angriffen eine Zero Day-Schwachstelle in den eingesetzten Roundcube Webmail Servern aus, um anschließend (vertrauliche) E-Mails auszulesen.

Roundcube ist eine Open Source Webmail Software, die von vielen Regierungsstellen und Organisationen wie Universitäten oder Forschungseinrichtungen genutzt wird. ESET empfiehlt Nutzern so schnell wie möglich auf die neueste verfügbare Version der Software zu aktualisieren. ESET entdeckte die Sicherheitslücke am 12. Oktober 2023 und meldete sie sofort an das Roundcube-Team, das die Schwachstelle zwei Tage später mit einem Sicherheitsupdate schloss. „Wir möchten den Roundcube-Entwicklern für ihre schnelle Antwort und für das Patchen der Schwachstelle in so kurzer Zeit danken“, sagt Matthieu Faou, der die Sicherheitslücke und die Winter-Vivern-Angriffe entdeckt hat. „Winter Vivern ist eine immense Bedrohung für Regierungen in Europa. Diese Gruppe agiert äußerst hartnäckig, um ans Ziel zu gelangen. Bei ihren Aktivitäten setzen sie auf Phishing-Kampagnen und das Ausnutzen von Sicherheitslücken, da viele Anwendungen nicht regelmäßig aktualisiert werden“, erklärt Faou weiter.

Anzeige

Angriff aus der Ferne

Die XSS-Schwachstelle CVE-2023-5631 auf dem Zielserver wird mit einer speziell entworfenen E-Mail angegriffen. „Auf den ersten Blick scheint die E-Mail nicht bösartig zu sein – aber bei der Untersuchung des HTML-Quellcodes fällt auf, dass am Ende ein Tag für SVG-Grafiken enthalten ist, der einen schadhaften Inhalt enthält“, sagt Faou. Durch den Versand einer solchen Nachricht können Angreifer beliebigen JavaScript-Code im geöffneten Browserfenster des Roundcube-Benutzers laden. Für die Ausführung des Schadcodes ist keine Interaktion des Anwenders notwendig. Die nachgeladene Schadsoftware kann E-Mails herausfiltern und an den Befehls- und Kontrollserver der Gruppe senden.

Winter Vivern ist eine Cyberspionagegruppe, die vermutlich seit mindestens 2020 Regierungen in Europa und Zentralasien attackiert. Dabei setzt sie vor allem bösartige Dokumente, Phishing-Websites und eine benutzerdefinierte PowerShell-Backdoor ein. Vermutlich seit 2022 nimmt Winter Vivern Roundcube-E-Mail-Server von Regierungsbehörden ins Visier. ESET geht davon aus, dass Winter Vivern mit der weißrussischen Hackerbande MoustachedBouncer in Verbindung steht. Letztere machte im August 2023 mit dem Ausspionieren von Botschaften in Belarus auf sich aufmerksam.

Mehr bei Eset.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen

SonicWall Firewall-Appliance mit kritischer Schwachstelle

SonicWall informiert über eine kritische 9.8 Schwachstelle in der Appliance vom Typ SMA1000. SonicWall stellt ein entsprechendes Update bereit, welches ➡ Weiterlesen