Hackers russos exploram falha zero-day do Roundcube para roubar emails do governo
25 de Outubro de 2023

O grupo de hackers russos Winter Vivern tem explorado um zero-day do Roundcube Webmail em ataques direcionados a entidades governamentais e think tanks europeus desde pelo menos 11 de outubro.

A equipe de desenvolvimento do Roundcube lançou atualizações de segurança corrigindo a vulnerabilidade Stored Cross-Site Scripting (XSS) ( CVE-2023-5631 ) relatada pelos pesquisadores da ESET em 16 de outubro.

Esses patches de segurança foram lançados cinco dias após a empresa de segurança cibernética eslovaca detectar atores de ameaças russas usando o zero-day em ataques reais.

De acordo com as descobertas da ESET, o grupo de ciberespionagem (também conhecido como TA473) usou mensagens de e-mail HTML contendo documentos SVG cuidadosamente elaborados para injetar remotamente código JavaScript arbitrário.

Suas mensagens de phishing se passavam pela equipe do Outlook e tentavam enganar possíveis vítimas a abrir e-mails maliciosos, acionando automaticamente um payload de primeira fase que explorava a vulnerabilidade do servidor de e-mail Roundcube.

O payload final de JavaScript lançado nos ataques ajudou os atores maliciosos a colher e roubar e-mails de servidores webmail comprometidos.

"Ao enviar uma mensagem de e-mail especialmente criada, os invasores conseguem carregar código JavaScript arbitrário no contexto da janela do navegador do usuário Roundcube.

Nenhuma intervenção manual além de visualizar a mensagem em um navegador da web é necessária", disse a ESET.

"A payload final de JavaScript [...] é capaz de listar pastas e e-mails na conta Roundcube atual e exfiltrar mensagens de e-mail para o servidor C&C (Comando e Controle)".

Primeiramente observado em abril de 2021, o Winter Vivern tem ganhado atenção pelo seu direcionamento deliberado a entidades governamentais em todo o mundo, incluindo nações como Índia, Itália, Lituânia, Ucrânia e o Vaticano.

De acordo com pesquisadores do SentinelLabs, os objetivos do grupo se alinham de perto com os interesses dos governos da Bielorrússia e da Rússia.

O Winter Vivern tem visado ativamente servidores de e-mail Zimbra e Roundcube pertencentes a organizações governamentais desde pelo menos 2022.

Esses ataques incluíram a exploração da vulnerabilidade XSS do Roundcube ( CVE-2020-35730 ) entre agosto e setembro de 2023, de acordo com dados de telemetria da ESET.

Notavelmente, essa mesma vulnerabilidade foi explorada pelos hackers de inteligência militar russa APT28 afiliados à Diretoria Principal de Inteligência do Estado-Maior Geral da Rússia (GRU) para comprometer servidores de e-mail Roundcube pertencentes ao governo ucraniano.

Os espiões cibernéticos russos também exploraram a vulnerabilidade XSS do Zimbra CVE-2022-27926 em ataques contra países da OTAN para roubar e-mails pertencentes a funcionários, governos e militares da OTAN.

"Winter Vivern intensificou suas operações usando uma vulnerabilidade zero-day no Roundcube.

Anteriormente, estava usando vulnerabilidades conhecidas no Roundcube e Zimbra, para as quais provas de conceito estão disponíveis online", disse a ESET.

"O grupo é uma ameaça para governos na Europa devido à sua persistência, à realização muito regular de campanhas de phishing e porque um número significativo de aplicações expostas à Internet não são atualizadas regularmente, embora se saiba que contêm vulnerabilidades."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...