Hackers russos exploram falha zero-day do Roundcube para roubar emails do governo
25 de Outubro de 2023

O grupo de hackers russos Winter Vivern tem explorado um zero-day do Roundcube Webmail em ataques direcionados a entidades governamentais e think tanks europeus desde pelo menos 11 de outubro.

A equipe de desenvolvimento do Roundcube lançou atualizações de segurança corrigindo a vulnerabilidade Stored Cross-Site Scripting (XSS) ( CVE-2023-5631 ) relatada pelos pesquisadores da ESET em 16 de outubro.

Esses patches de segurança foram lançados cinco dias após a empresa de segurança cibernética eslovaca detectar atores de ameaças russas usando o zero-day em ataques reais.

De acordo com as descobertas da ESET, o grupo de ciberespionagem (também conhecido como TA473) usou mensagens de e-mail HTML contendo documentos SVG cuidadosamente elaborados para injetar remotamente código JavaScript arbitrário.

Suas mensagens de phishing se passavam pela equipe do Outlook e tentavam enganar possíveis vítimas a abrir e-mails maliciosos, acionando automaticamente um payload de primeira fase que explorava a vulnerabilidade do servidor de e-mail Roundcube.

O payload final de JavaScript lançado nos ataques ajudou os atores maliciosos a colher e roubar e-mails de servidores webmail comprometidos.

"Ao enviar uma mensagem de e-mail especialmente criada, os invasores conseguem carregar código JavaScript arbitrário no contexto da janela do navegador do usuário Roundcube.

Nenhuma intervenção manual além de visualizar a mensagem em um navegador da web é necessária", disse a ESET.

"A payload final de JavaScript [...] é capaz de listar pastas e e-mails na conta Roundcube atual e exfiltrar mensagens de e-mail para o servidor C&C (Comando e Controle)".

Primeiramente observado em abril de 2021, o Winter Vivern tem ganhado atenção pelo seu direcionamento deliberado a entidades governamentais em todo o mundo, incluindo nações como Índia, Itália, Lituânia, Ucrânia e o Vaticano.

De acordo com pesquisadores do SentinelLabs, os objetivos do grupo se alinham de perto com os interesses dos governos da Bielorrússia e da Rússia.

O Winter Vivern tem visado ativamente servidores de e-mail Zimbra e Roundcube pertencentes a organizações governamentais desde pelo menos 2022.

Esses ataques incluíram a exploração da vulnerabilidade XSS do Roundcube ( CVE-2020-35730 ) entre agosto e setembro de 2023, de acordo com dados de telemetria da ESET.

Notavelmente, essa mesma vulnerabilidade foi explorada pelos hackers de inteligência militar russa APT28 afiliados à Diretoria Principal de Inteligência do Estado-Maior Geral da Rússia (GRU) para comprometer servidores de e-mail Roundcube pertencentes ao governo ucraniano.

Os espiões cibernéticos russos também exploraram a vulnerabilidade XSS do Zimbra CVE-2022-27926 em ataques contra países da OTAN para roubar e-mails pertencentes a funcionários, governos e militares da OTAN.

"Winter Vivern intensificou suas operações usando uma vulnerabilidade zero-day no Roundcube.

Anteriormente, estava usando vulnerabilidades conhecidas no Roundcube e Zimbra, para as quais provas de conceito estão disponíveis online", disse a ESET.

"O grupo é uma ameaça para governos na Europa devido à sua persistência, à realização muito regular de campanhas de phishing e porque um número significativo de aplicações expostas à Internet não são atualizadas regularmente, embora se saiba que contêm vulnerabilidades."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...