Avrupa'daki devlet kurumları ve bir düşünce kuruluşu, APT grubu Winter Vivern tarafından saldırıya uğradı. Burada bilgisayar korsanları, (gizli) e-postaları okumak için kullanılan Roundcube web posta sunucularındaki sıfır gün güvenlik açığından yararlanmak için siteler arası komut dosyası oluşturma saldırıları adı verilen saldırıları kullanıyor..
Roundcube, üniversiteler ve araştırma enstitüleri gibi birçok devlet dairesi ve kuruluşu tarafından kullanılan açık kaynaklı bir web posta yazılımıdır. ESET, kullanıcıların mümkün olan en kısa sürede yazılımın mevcut en son sürümüne güncelleme yapmasını önerir. ESET, 12 Ekim 2023'te güvenlik açığını keşfetti ve bunu hemen Roundcube ekibine bildirdi. Ekip, güvenlik açığını iki gün sonra bir güvenlik güncellemesiyle düzeltti. Güvenlik açığını ve Winter Vivern saldırılarını keşfeden Matthieu Faou, "Hızlı yanıtları ve güvenlik açığını bu kadar kısa sürede düzelttikleri için Roundcube geliştiricilerine teşekkür etmek istiyoruz" diyor. “Winter Vivern, Avrupa'daki hükümetler için büyük bir tehdittir. Bu grup amacına ulaşmak için son derece inatla hareket etmektedir. Faou, "Faaliyetlerinde kimlik avı kampanyalarına ve güvenlik açıklarından yararlanmaya güveniyorlar, çünkü birçok uygulama düzenli olarak güncellenmiyor" diye açıklıyor.
Uzaktan saldırı
Hedef sunucudaki XSS güvenlik açığı CVE-2023-5631, özel hazırlanmış bir e-posta ile saldırıya uğrar. Faou, "İlk bakışta e-posta kötü niyetli gibi görünmüyor ancak HTML kaynak kodunu incelediğimizde, sonunda kötü amaçlı içerik barındıran bir SVG grafik etiketinin olduğu anlaşılıyor" diyor. Saldırganlar böyle bir mesaj göndererek Roundcube kullanıcısının açık tarayıcı penceresine rastgele JavaScript kodu yükleyebilir. Kötü amaçlı kodu yürütmek için hiçbir kullanıcı etkileşimi gerekmez. İndirilen kötü amaçlı yazılım, e-postaları filtreleyebilir ve bunları grubun komuta ve kontrol sunucusuna gönderebilir.
Winter Vivern, en az 2020'den beri Avrupa ve Orta Asya'daki hükümetlere saldırdığına inanılan bir siber casusluk grubudur. Öncelikle kötü amaçlı belgeler, kimlik avı web siteleri ve özel bir PowerShell arka kapısı kullanır. Winter Vivern muhtemelen 2022'den beri devlet kurumlarının Roundcube e-posta sunucularını hedef alıyor. ESET, Winter Vivern'in Belaruslu hacker çetesi MoustachedBouncer ile bağlantılı olduğuna inanıyor. İkincisi, Ağustos 2023'te Belarus'taki büyükelçilikler hakkında casusluk yaparak dikkatleri üzerine çekti.
Daha fazlası Eset.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.