Российские хакеры используют 0Day-уязвимость Roundcube для кражи правительственной электронной почты

Российская хакерская группа Winter Vivern, по крайней мере, с 11 октября эксплуатирует 0Day-уязвимость в веб-почте Roundcube в атаках на европейские государственные структуры и аналитические центры.

Команда разработчиков Roundcube выпустила обновления безопасности, устраняющие уязвимость Stored Cross-Site Scripting (XSS) (CVE-2023-5631), о которой сообщили исследователи ESET 16 октября.

Эти обновления были выпущены через пять дней после того, как словацкая компания, специализирующаяся на кибербезопасности, обнаружила российских акторов, использующих уязвимость "нулевого дня" в реальных атаках.

Согласно результатам исследования, проведенного ESET, кибершпионская группа (также известная как TA473) использовала HTML-сообщения электронной почты, содержащие тщательно проработанные SVG-документы, для удаленной инъекции произвольного JavaScript-кода.

Фишинговые сообщения рассылались от имени команды Outlook и пытались обманом заставить потенциальных жертв открыть вредоносные письма, автоматически запуская полезную нагрузку первого этапа, которая эксплуатировала уязвимость почтового сервера Roundcube.

Конечная полезная нагрузка, созданная с помощью JavaScript, помогала злоумышленникам собирать и похищать электронную почту со взломанных серверов веб-почты.

"Отправив специально созданное почтовое сообщение, злоумышленники получают возможность загрузить произвольный JavaScript-код в контексте окна браузера пользователя Roundcube. При этом не требуется никакого ручного вмешательства, кроме просмотра сообщения в веб-браузере", - говорится в сообщении ESET.

"Конечная полезная нагрузка JavaScript [...] способна вывести список папок и писем в текущей учетной записи Roundcube, а также передать почтовые сообщения на C&C-сервер".


Образец фишингового письма Roundcube (ESET)

Впервые обнаруженная в апреле 2021 года, группа Winter Vivern привлекла к себе внимание тем, что целенаправленно атаковала государственные структуры по всему миру, включая такие страны, как Индия, Италия, Литва, Украина и Ватикан.

По мнению исследователей SentinelLabs, цели группы тесно связаны с интересами правительств Беларуси и России.

По крайней мере с 2022 года Winter Vivern активно атакует почтовые серверы Zimbra и Roundcube, принадлежащие правительственным организациям.

По данным телеметрии ESET, эти атаки включали использование XSS-уязвимости Roundcube (CVE-2020-35730) в период с августа по сентябрь 2023 года.

Примечательно, что эта же уязвимость была использована пророссийскими хакерами из APT28, якобы связанными с Главным разведывательным управлением Генерального штаба (ГРУ) РФ, для компрометации почтовых серверов Roundcube, принадлежащих правительству Украины.

Российские кибершпионы также использовали XSS-уязвимость Zimbra CVE-2022-27926 в атаках на страны НАТО для кражи электронной почты, принадлежащей официальным лицам, правительствам и военным НАТО.

"Winter Vivern" активизировала свои операции, используя уязвимость нулевого дня в Roundcube. Ранее она использовала известные уязвимости в Roundcube и Zimbra, примеры которых доступны в Интернете", - говорится в сообщении ESET.

"Группа представляет угрозу для правительств европейских стран благодаря своей настойчивости, регулярному проведению фишинговых кампаний, а также тому, что значительное количество приложений, выходящих в Интернет, не обновляется регулярно, хотя известно, что они содержат уязвимости".

25.10.2023
https://www.bleepingcomputer.com/ne...loit-roundcube-zero-day-to-steal-govt-emails/​