I ricercatori di ESET, durante il loro regolare monitoraggio delle operazioni di cyberespionaggio di Winter Vivern, hanno scoperto che questo gruppo di cyber-spionaggio ha recentemente iniziato a sfruttare una vulnerabilità XSS zero-day nel server Webmail Roundcube. In un attacco XSS, vengono iniettati script dannosi in siti web altrimenti affidabili. Secondo i dati di telemetria di ESET, la campagna ha preso di mira i server Webmail Roundcube appartenenti a enti governativi e a un think tank europei. ESET Research consiglia di aggiornare Roundcube Webmail all’ultima versione disponibile il prima possibile.

ESET ha scoperto la vulnerabilità il 12 ottobre e l’ha immediatamente segnalata al team di Roundcube, che ha provveduto a correggere la vulnerabilità e a rilasciare gli aggiornamenti di sicurezza già il 14 ottobre. “Vorremmo ringraziare gli sviluppatori di Roundcube per la loro rapida risposta e per aver risolto la vulnerabilità in tempi così brevi” ha dichiarato Matthieu Faou, ricercatore ESET che ha scoperto la vulnerabilità e gli attacchi di Winter Vivern.

Winter Vivern è una minaccia per i governi europei a causa della sua persistenza, dell’esecuzione molto costante di campagne di phishing e del fatto che molte applicazioni esposte su Internet non vengono aggiornate regolarmente nonostante siano note le loro vulnerabilità”, spiega Faou.

Osservatorio Cybersecurity 2022

Lo sfruttamento della vulnerabilità XSS CVE-2023-5631 può essere effettuato da remoto inviando un messaggio e-mail appositamente creato. “A prima vista, l’e-mail non sembra dannosa, ma se esaminiamo il codice sorgente HTML, possiamo vedere un tag SVG alla fine che contiene un payload dannoso”, spiega Faou. Inviando un messaggio e-mail appositamente creato, gli aggressori sono in grado di caricare codice JavaScript arbitrario nel contesto della finestra del browser dell’utente di Roundcube. Non è richiesta alcuna interazione manuale oltre alla visualizzazione del messaggio in un browser web. Il payload JavaScript può esfiltrare i messaggi e-mail verso il server di comando e controllo del gruppo.

Winter Vivern è un gruppo di cyber-spionaggio che si ritiene sia attivo almeno dal 2020 e che prende di mira i governi dell’Europa e dell’Asia centrale. Per compromettere i suoi obiettivi, il gruppo utilizza documenti dannosi, siti web di phishing e una backdoor PowerShell personalizzata. ESET ritiene che Winter Vivern sia collegato al gruppo MoustachedBouncer allineato alla Bielorussia. Da notare che Winter Vivern ha preso di mira i server e-mail Zimbra e Roundcube appartenenti a enti governativi almeno dal 2022.