Se observó que el actor de amenazas conocido como Winter Vivern explotaba una falla de día cero en el software de correo web Roundcube el 11 de octubre de 2023 para recopilar mensajes de correo electrónico de las cuentas de las víctimas.
«Winter Vivern ha intensificado sus operaciones utilizando una vulnerabilidad de día cero en Roundcube», dijo el investigador de seguridad de ESET Matthieu Faou. dicho en un nuevo informe publicado hoy. Anteriormente, utilizaba vulnerabilidades conocidas en Roundcube y Zimbra, para las cuales hay pruebas de concepto disponibles en línea».
Winter Vivern, también conocido como TA473 y UAC-0114, es un colectivo adversario cuyos objetivos se alinean con los de Bielorrusia y Rusia. En los últimos meses, se ha atribuido a ataques contra Ucrania y Polonia, así como contra entidades gubernamentales en toda Europa e India.
También se estima que el grupo aprovechó anteriormente otra falla de Roundcube (CVE-2020-35730), lo que lo convierte en el segundo grupo de estado-nación después de APT28 en atacar el software de correo web de código abierto.
La nueva vulnerabilidad de seguridad en cuestión es CVE-2023-5631 (Puntuación CVSS: 5,4), una falla de secuencias de comandos entre sitios almacenada que podría permitir a un atacante remoto cargar código JavaScript arbitrario. Se publicó una solución el 14 de octubre de 2023.
Las cadenas de ataques montadas por el grupo comienzan con un mensaje de phishing que incorpora una carga útil codificada en Base64 en el código fuente HTML que, a su vez, se decodifica en una inyección de JavaScript desde un servidor remoto al convertir la falla XSS en un arma.
«En resumen, al enviar un mensaje de correo electrónico especialmente diseñado, los atacantes pueden cargar código JavaScript arbitrario en el contexto de la ventana del navegador del usuario de Roundcube», explicó Faou. «No se requiere ninguna interacción manual aparte de ver el mensaje en un navegador web».
El JavaScript de segunda etapa (checkupdate.js) es un cargador que facilita la ejecución de una carga útil final de JavaScript que permite al actor de amenazas filtrar mensajes de correo electrónico a un servidor de comando y control (C2).
«A pesar de la baja sofisticación del conjunto de herramientas del grupo, es una amenaza para los gobiernos de Europa debido a su persistencia, la ejecución muy regular de campañas de phishing y porque un número significativo de aplicaciones de Internet no se actualizan periódicamente, aunque se sabe que contienen vulnerabilidades», dijo Faou.