ヨーロッパの政府機関とシンクタンクがAPTグループWinter Vivernによって攻撃されました。 ここでハッカーは、いわゆるクロスサイト スクリプティング攻撃を使用して、Roundcube Web メール サーバーのゼロデイ脆弱性を悪用し、(機密) 電子メールを読み取ります。.
Roundcube は、大学や研究機関などの多くの政府部門や組織で使用されているオープンソースの Web メール ソフトウェアです。 ESETは、ユーザーができるだけ早くソフトウェアの最新バージョンに更新することをお勧めします。 ESET は 12 年 2023 月 XNUMX 日にこの脆弱性を発見し、すぐに Roundcube チームに報告し、XNUMX 日後にセキュリティ アップデートで脆弱性を修正しました。 この脆弱性と Winter Vivern 攻撃を発見した Matthieu Faou 氏は、「Roundcube の開発者の素早い対応と、短期間で脆弱性にパッチを当ててくれたことに感謝します」と述べています。 「ウィンター・ビバーンはヨーロッパの政府にとって計り知れない脅威です。 このグループは、目標を達成するために非常に頑固に行動します。 「多くのアプリケーションは定期的に更新されていないため、彼らは活動の中でフィッシング キャンペーンやセキュリティの脆弱性の悪用に依存しています」と Faou 氏は説明します。
遠距離から攻撃する
ターゲット サーバー上の XSS 脆弱性 CVE-2023-5631 は、特別に細工された電子メールによって攻撃されます。 「一見すると、この電子メールは悪意のあるものではないようですが、HTML ソース コードを調べると、最後に悪意のあるコンテンツを含む SVG グラフィック タグがあることが明らかになります」と Faou 氏は言います。 このようなメッセージを送信することで、攻撃者は Roundcube ユーザーが開いているブラウザ ウィンドウに任意の JavaScript コードを読み込むことができます。 悪意のあるコードを実行するためにユーザーの操作は必要ありません。 ダウンロードされたマルウェアは電子メールをフィルタリングして除外し、グループのコマンド アンド コントロール サーバーに送信する可能性があります。
Winter Vivern は、少なくとも 2020 年からヨーロッパと中央アジアの政府を攻撃していると考えられているサイバースパイ集団です。 主に、悪意のあるドキュメント、フィッシング Web サイト、カスタム PowerShell バックドアを使用します。 おそらく 2022 年以来、Winter Vivern は政府機関の Roundcube 電子メール サーバーを標的にしてきました。 ESET は、Winter Vivern がベラルーシのハッカー集団 MoustachedBouncer に関連していると考えています。 後者は2023年XNUMX月にベラルーシの大使館をスパイしたことで注目を集めた。
詳細については、Eset.com をご覧ください
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。