O grupo de hackers russos Winter Vivern tem explorado um zero-day do Roundcube Webmail em ataques direcionados a entidades governamentais e think tanks europeus desde pelo menos 11 de outubro.
A equipe de desenvolvimento do Roundcube lançou atualizações de segurança corrigindo a vulnerabilidade Stored Cross-Site Scripting (XSS) (
CVE-2023-5631
) relatada pelos pesquisadores da ESET em 16 de outubro.
Esses patches de segurança foram lançados cinco dias após a empresa de segurança cibernética eslovaca detectar atores de ameaças russas usando o zero-day em ataques reais.
De acordo com as descobertas da ESET, o grupo de ciberespionagem (também conhecido como TA473) usou mensagens de e-mail HTML contendo documentos SVG cuidadosamente elaborados para injetar remotamente código JavaScript arbitrário.
Suas mensagens de phishing se passavam pela equipe do Outlook e tentavam enganar possíveis vítimas a abrir e-mails maliciosos, acionando automaticamente um payload de primeira fase que explorava a vulnerabilidade do servidor de e-mail Roundcube.
O payload final de JavaScript lançado nos ataques ajudou os atores maliciosos a colher e roubar e-mails de servidores webmail comprometidos.
"Ao enviar uma mensagem de e-mail especialmente criada, os invasores conseguem carregar código JavaScript arbitrário no contexto da janela do navegador do usuário Roundcube.
Nenhuma intervenção manual além de visualizar a mensagem em um navegador da web é necessária", disse a ESET.
"A payload final de JavaScript [...] é capaz de listar pastas e e-mails na conta Roundcube atual e exfiltrar mensagens de e-mail para o servidor C&C (Comando e Controle)".
Primeiramente observado em abril de 2021, o Winter Vivern tem ganhado atenção pelo seu direcionamento deliberado a entidades governamentais em todo o mundo, incluindo nações como Índia, Itália, Lituânia, Ucrânia e o Vaticano.
De acordo com pesquisadores do SentinelLabs, os objetivos do grupo se alinham de perto com os interesses dos governos da Bielorrússia e da Rússia.
O Winter Vivern tem visado ativamente servidores de e-mail Zimbra e Roundcube pertencentes a organizações governamentais desde pelo menos 2022.
Esses ataques incluíram a exploração da vulnerabilidade XSS do Roundcube (
CVE-2020-35730
) entre agosto e setembro de 2023, de acordo com dados de telemetria da ESET.
Notavelmente, essa mesma vulnerabilidade foi explorada pelos hackers de inteligência militar russa APT28 afiliados à Diretoria Principal de Inteligência do Estado-Maior Geral da Rússia (GRU) para comprometer servidores de e-mail Roundcube pertencentes ao governo ucraniano.
Os espiões cibernéticos russos também exploraram a vulnerabilidade XSS do Zimbra
CVE-2022-27926
em ataques contra países da OTAN para roubar e-mails pertencentes a funcionários, governos e militares da OTAN.
"Winter Vivern intensificou suas operações usando uma vulnerabilidade zero-day no Roundcube.
Anteriormente, estava usando vulnerabilidades conhecidas no Roundcube e Zimbra, para as quais provas de conceito estão disponíveis online", disse a ESET.
"O grupo é uma ameaça para governos na Europa devido à sua persistência, à realização muito regular de campanhas de phishing e porque um número significativo de aplicações expostas à Internet não são atualizadas regularmente, embora se saiba que contêm vulnerabilidades."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...