Il gruppo ha sfruttato una vulnerabilità XSS zero-day del server Webmail open-source Roundcube, in uso a moltissime organizzazioni, per colpire enti governativi e un think tank in Europa. La vulnerabilità è stata rapidamente corretta
I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, durante il regolare monitoraggio delle operazioni di cyberspionaggio di Winter Vivern, hanno scoperto che il gruppo ha recentemente iniziato a sfruttare una vulnerabilità XSS zero-day nel server Webmail Roundcube.
In un attacco XSS, script dannosi sono stati immessi in siti web ritenuti affidabili. Secondo i dati di telemetria di ESET, l’attacco ha preso di mira i server Webmail Roundcube appartenenti a enti governativi e a un think tank, tutti in Europa. ESET Research consiglia di aggiornare Roundcube Webmail all’ultima versione disponibile il prima possibile.
ESET ha scoperto la vulnerabilità il 12 ottobre e l’ha immediatamente segnalata agli sviluppatori di Roundcube, che l’hanno patchata e hanno rilasciato gli aggiornamenti di sicurezza poco dopo, il 14 ottobre. “Desideriamo ringraziare il team di Roundcube per la rapidità della risposta e per aver applicato la patch alla vulnerabilità in tempi così brevi”, afferma il ricercatore ESET Matthieu Faou, che ha scoperto la vulnerabilità e gli attacchi Winter Vivern.
“Winter Vivern è una minaccia per i governi europei a causa della sua persistenza, dell’esecuzione massiccia di campagne di phishing e del fatto che un numero significativo di applicazioni rivolte a Internet non vengono aggiornate regolarmente nonostante sia noto che contengono vulnerabilità”, spiega Faou.
Lo sfruttamento della vulnerabilità XSS CVE-2023-5631 può essere effettuato da remoto inviando un messaggio di posta elettronica appositamente creato. “A prima vista, l’e-mail non sembra dannosa, ma se esaminiamo il codice sorgente HTML, possiamo vedere un tag per la grafica SVG che contiene un payload dannoso codificato”, spiega Faou. Inviando un messaggio e-mail appositamente creato, gli aggressori sono in grado di caricare codice JavaScript arbitrario nel contesto della finestra del browser dell’utente di Roundcube. Non è richiesta alcuna interazione manuale oltre alla visualizzazione del messaggio in un browser web. Il payload JavaScript finale può esfiltrare i messaggi e-mail e trasferirli al server C&C del gruppo.
Winter Vivern è un gruppo di cyberspionaggio che si ritiene sia attivo almeno dal 2020 e prende di mira entità governative dell’Europa e dell’Asia centrale. Per compromettere i suoi obiettivi, il gruppo utilizza documenti dannosi, siti web di phishing e una backdoor PowerShell personalizzata. ESET ritiene poco probabile che Winter Vivern sia collegato a MoustachedBouncer, un gruppo avanzato allineato alla Bielorussia di cui il vendor ha dato notizia per la prima volta nell’agosto 2023. Winter Vivern ha preso di mira i server e-mail Zimbra e Roundcube appartenenti a enti governativi almeno dal 2022.