Компания ESET — лидер в области информационной безопасности — обнаружила использование «0-дневной» уязвимости XSS на сервере веб-почты Roundcube группой киберпреступников Winter Vivern. Согласно данным телеметрии ESET, целями злоумышленников были серверы веб-почты Roundcube, которые принадлежат государственным учреждениям и аналитическому центру в Европе. Поэтому специалисты ESET рекомендуют поскорее обновить веб-почту Roundcube до актуальной версии.
Исследователи ESET обнаружили уязвимость 12 октября 2023 года и сразу сообщили об этом компании Roundcube, которая исправила ее и выпустила обновление безопасности вскоре после этого — 14 октября 2023 года. «Мы благодарны команде Roundcube за ее быстрый ответ и исправление уязвимости в столь короткий промежуток времени», — комментирует Мэтье Фау, исследователь ESET.
«Winter Vivern представляет угрозу для государственных учреждений в Европе из-за достаточно последовательного проведения фишинговых атак, а также из-за отсутствия регулярного обновления большого количества Интернет-приложений, несмотря на наличие у них уязвимостей», — объясняет исследователь ESET.
Уязвимость CVE-2023-5631 может использоваться хакерами удаленно с помощью отправки специально созданного сообщения электронной почты. «На первый взгляд электронное письмо не выглядит вредоносным, однако в исходном коде HTML в конце есть тег SVG, который содержит закодированный вредоносный компонент», — комментирует исследователь ESET.
Отправляя специально созданное сообщение электронной почты, злоумышленники могут загружать произвольный код JavaScript в окне браузера пользователя Roundcube. Жертвам достаточно просмотреть вредоносное сообщение в браузере. Основной компонент JavaScript может передавать сообщения электронной почты пользователя на командный сервер киберпреступников.
Стоит отметить, что Winter Vivern — это группа кибершпионов, которая действует по крайней мере с 2020 года и нацелена на правительственные учреждения Европы и Центральной Азии. Чтобы скомпрометировать свои цели, злоумышленники используют вредоносные документы, фишинговые веб-сайты и специальный бэкдор PowerShell. Существует возможность, что Winter Vivern связана с группой MoustachedBouncer, деятельность которой впервые зафиксирована в августе 2023 года. Winter Vivern нацелена на принадлежащие государственным учреждениям серверы электронной почты Zimbra и Roundcube по крайней мере с 2022 года.
В связи с опасностью распространения подобных угроз в дальнейшем специалисты ESET рекомендуют регулярно обновлять все программы до актуальной версии, в дополнение к паролям использовать многофакторную аутентификацию для входа в аккаунты и установить решения для защиты компьютеров и мобильных устройств от различных угроз, включая программы-вымогатели, фишинг-атаки и другие виды вредоносных программ.