Agências governamentais e um think tank na Europa foram atacados pelo grupo APT Winter Vivern. Aqui, os hackers usam os chamados ataques de script entre sites para explorar uma vulnerabilidade de dia zero nos servidores de webmail Roundcube usados para ler e-mails (confidenciais).
Roundcube é um software de webmail de código aberto usado por muitos departamentos e organizações governamentais, como universidades e institutos de pesquisa. A ESET recomenda que os usuários atualizem para a versão mais recente disponível do software o mais rápido possível. A ESET descobriu a vulnerabilidade em 12 de outubro de 2023 e imediatamente a relatou à equipe do Roundcube, que corrigiu a vulnerabilidade com uma atualização de segurança dois dias depois. “Gostaríamos de agradecer aos desenvolvedores do Roundcube por sua resposta rápida e por corrigir a vulnerabilidade em tão pouco tempo”, disse Matthieu Faou, que descobriu a vulnerabilidade e os ataques Winter Vivern. “Winter Vivern é uma ameaça imensa para os governos da Europa. Este grupo age com extrema teimosia para atingir seu objetivo. “Em suas atividades, eles contam com campanhas de phishing e exploração de vulnerabilidades de segurança, já que muitos aplicativos não são atualizados regularmente”, explica Faou.
Ataque à distância
A vulnerabilidade XSS CVE-2023-5631 no servidor de destino é atacada com um e-mail especialmente criado. “À primeira vista, o e-mail não parece ser malicioso – mas ao examinar o código-fonte HTML, fica aparente que há uma tag gráfica SVG no final que contém conteúdo malicioso”, diz Faou. Ao enviar tal mensagem, os invasores podem carregar código JavaScript arbitrário na janela aberta do navegador do usuário do Roundcube. Nenhuma interação do usuário é necessária para executar o código malicioso. O malware baixado pode filtrar e-mails e enviá-los ao servidor de comando e controle do grupo.
Winter Vivern é um grupo de espionagem cibernética que se acredita estar atacando governos na Europa e na Ásia Central desde pelo menos 2020. Ele usa principalmente documentos maliciosos, sites de phishing e um backdoor personalizado do PowerShell. Presumivelmente, desde 2022, Winter Vivern tem como alvo os servidores de e-mail Roundcube de agências governamentais. A ESET acredita que Winter Vivern está ligado à gangue de hackers bielorrussa MoustachedBouncer. Este último chamou a atenção em agosto de 2023 ao espionar embaixadas na Bielorrússia.
Mais em Eset.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.