Agenzie governative e think tank europei sono stati attaccati dal gruppo APT Winter Vivern. In questo caso gli hacker utilizzano i cosiddetti attacchi Cross-Site Scripting per sfruttare una vulnerabilità zero-day nei server webmail utilizzati da Roundcube per leggere poi le e-mail (riservate).
Roundcube è un software di posta elettronica open source utilizzato da molti dipartimenti e organizzazioni governative come università e istituti di ricerca. ESET consiglia agli utenti di eseguire l'aggiornamento all'ultima versione disponibile del software il prima possibile. ESET ha scoperto la vulnerabilità il 12 ottobre 2023 e l'ha immediatamente segnalata al team Roundcube, che ha risolto la vulnerabilità con un aggiornamento di sicurezza due giorni dopo. "Vorremmo ringraziare gli sviluppatori Roundcube per la loro rapida risposta e per aver risolto la vulnerabilità in così poco tempo", afferma Matthieu Faou, che ha scoperto la vulnerabilità e gli attacchi Winter Vivern. “Winter Vivern rappresenta un’enorme minaccia per i governi europei. Questo gruppo agisce in modo estremamente ostinato per raggiungere il proprio obiettivo. "Nelle loro attività si affidano a campagne di phishing e sfruttano le vulnerabilità della sicurezza, poiché molte applicazioni non vengono aggiornate regolarmente", spiega Faou.
Attacco a distanza
La vulnerabilità XSS CVE-2023-5631 sul server di destinazione viene attaccata con un'e-mail appositamente predisposta. "A prima vista, l'e-mail non sembra essere dannosa, ma esaminando il codice sorgente HTML, risulta evidente che alla fine è presente un tag grafico SVG che contiene contenuti dannosi", afferma Faou. Inviando un messaggio di questo tipo, gli aggressori possono caricare codice JavaScript arbitrario nella finestra del browser aperta dell'utente Roundcube. Non è necessaria alcuna interazione da parte dell'utente per eseguire il codice dannoso. Il malware scaricato può filtrare le e-mail e inviarle al server di comando e controllo del gruppo.
Winter Vivern è un gruppo di spionaggio informatico che si ritiene abbia attaccato i governi in Europa e in Asia centrale almeno dal 2020. Utilizza principalmente documenti dannosi, siti Web di phishing e una backdoor PowerShell personalizzata. Presumibilmente dal 2022, Winter Vivern ha preso di mira i server di posta elettronica Roundcube delle agenzie governative. ESET ritiene che Winter Vivern sia collegato alla banda di hacker bielorussa MoustachedBouncer. Quest’ultimo ha attirato l’attenzione su di sé nell’agosto 2023 spiando le ambasciate in Bielorussia.
Maggiori informazioni su Eset.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.