Урядові установи та аналітичний центр у Європі зазнали нападу з боку групи APT Winter Vivern. Тут хакери використовують так звані міжсайтові скриптові атаки, щоб використати вразливість нульового дня на серверах веб-пошти Roundcube, які використовуються для читання (конфіденційних) електронних листів..
Roundcube — це програмне забезпечення для веб-пошти з відкритим вихідним кодом, яке використовується багатьма державними відомствами та організаціями, такими як університети та дослідницькі інститути. ESET рекомендує користувачам якомога швидше оновити програмне забезпечення до останньої доступної версії. ESET виявила вразливість 12 жовтня 2023 року та негайно повідомила про це команді Roundcube, яка через два дні виправила вразливість за допомогою оновлення системи безпеки. «Ми хотіли б подякувати розробникам Roundcube за швидку реакцію та виправлення вразливості за такий короткий час», — каже Метьє Фау, який виявив уразливість і атаки Winter Vivern. «Вінтерн Віверн є величезною загрозою для урядів у Європі. Ця група діє надзвичайно вперто, щоб досягти своєї мети. «У своїй діяльності вони покладаються на фішингові кампанії та використовують уразливості безпеки, оскільки багато програм не оновлюються регулярно», — пояснює Фау.
Атака з дистанції
Уразливість XSS CVE-2023-5631 на цільовому сервері атакується за допомогою спеціально створеного електронного листа. «На перший погляд електронний лист не здається шкідливим, але під час вивчення вихідного коду HTML стає очевидним, що в кінці міститься графічний тег SVG, який містить шкідливий вміст», — каже Фау. Надсилаючи таке повідомлення, зловмисники можуть завантажити довільний код JavaScript у відкритому вікні браузера користувача Roundcube. Для виконання шкідливого коду не потрібна взаємодія користувача. Завантажене зловмисне програмне забезпечення може фільтрувати електронні листи та надсилати їх на командний сервер групи.
Winter Vivern – це група кібершпигунів, яка, як вважають, атакує уряди в Європі та Центральній Азії принаймні з 2020 року. В основному він використовує шкідливі документи, фішингові веб-сайти та спеціальний бекдор PowerShell. Імовірно з 2022 року Winter Vivern націлена на сервери електронної пошти Roundcube державних установ. ESET вважає, що Winter Vivern пов'язана з білоруською хакерською групою MoustachedBouncer. Останній привернув до себе увагу в серпні 2023 року шпигунством за посольствами в Білорусі.
Більше на Eset.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.