O grupo de hackers russo Winter Vivern tem explorado um webmail Roundcube, sistema de e-mail de código aberto, para ataques contra organizações governamentais europeias e think tanks desde ao menos o dia 11 deste mês.
A equipe de desenvolvimento do Roundcube lançou atualizações de segurança corrigindo a vulnerabilidade de XSS (stored cross-site scripting), identificada como CVE-2023-5631, relatada pelos pesquisadores da ESET no dia 16. Os patches de segurança foram liberados cinco dias depois de a empresa de segurança cibernética ter detectado operadores de ameaças russos usando o dia zero em ataques.
De acordo com as descobertas da ESET, o grupo de ciberespionagem — também conhecido como TA473 — usou mensagens de e-mail HTML contendo documentos no formato SVG, cuidadosamente criados para injetar remotamente código JavaScript arbitrário.
As mensagens de phishing se passavam pela equipe do Outlook e tentavam enganar as vítimas em potencial para que abrissem e-mails maliciosos, acionando automaticamente uma carga útil de primeiro estágio que explorava a vulnerabilidade do servidor de e-mail Roundcube. A carga final de JavaScript ajudou os operadores de ameaça a coletar e roubar e-mails de servidores de webmail comprometidos.
“Ao enviar uma mensagem de e-mail especialmente criada, os invasores podem carregar código JavaScript arbitrário no contexto da janela do navegador do usuário do Roundcube. Nenhuma intervenção manual, além da visualização da mensagem em um navegador da web, é necessária”, explicou a ESET. “A carga útil final do JavaScript [..] é capaz de listar pastas e e-mails na conta Roundcube e exfiltrar mensagens de e-mail para o servidor de comando e controle [C&C]”, acrescentou a empresa.
O Winter Vivern tem visado ativamente os servidores de e-mail Zimbra e Roundcube de propriedade de organizações governamentais desde ao menos 2022. Esses ataques incluíram a exploração da vulnerabilidade Roundcube XSS (CVE-2020-35730) entre agosto e setembro deste ano, de acordo com dados de telemetria da ESET.
Veja isso
Campanha de phishing visa servidor de e-mail Zimbra
Exchange Online ganha recurso para bloquear e-mail vulnerável
Essa mesma vulnerabilidade foi explorada por hackers do grupo APT28 afiliado à divisão de inteligência militar da Rússia, a General Staff Main Intelligence Directorate (GRU), para comprometer os servidores de e-mail Roundcube pertencentes ao governo ucraniano.
Os ciberespiões russos também exploraram a vulnerabilidade Zimbra CVE-2022-27926 XSS em ataques contra países da Otan para roubar e-mails pertencentes a funcionários, governos e militares. “O Winter Vivern intensificou suas operações usando uma vulnerabilidade de dia zero no Roundcube. Anteriormente, ele estava usando vulnerabilidades conhecidas no Roundcube e no Zimbra, para as quais as provas de conceito estão disponíveis online”, disse a ESET.
Para acessar os patches de segurança clique aqui.
