Carding 4 Carders
Professional
11 октября 2023 года было замечено, что злоумышленник, известный как Винтер Виверн, использовал уязвимость нулевого дня в почтовом программном обеспечении Roundcube для сбора электронных сообщений с учетных записей жертв.
"Winter Vivern активизировала свою деятельность, используя уязвимость нулевого дня в Roundcube", - сказал исследователь безопасности ESET Матье Фау в новом отчете, опубликованном сегодня. Ранее он использовал известные уязвимости в Roundcube и Zimbra, концептуальные доказательства которых доступны в Интернете".
Winter Vivern, также известная как TA473 и UAC-0114, является враждебным коллективом, цели которого совпадают с целями Беларуси и России. За последние несколько месяцев это было связано с нападениями на Украину и Польшу, а также государственные структуры по всей Европе и Индии.
Также считается, что группа ранее использовала другой недостаток Roundcube (CVE-2020-35730), что делает ее второй государственной группой после APT28, нацеленной на программное обеспечение веб-почты с открытым исходным кодом.
Новой уязвимостью безопасности, о которой идет речь, является CVE-2023-5631 (оценка CVSS: 5.4), сохраненная ошибка межсайтового скриптинга, которая может позволить удаленному злоумышленнику загрузить произвольный код JavaScript. Исправление было выпущено 14 октября 2023 года.
Цепочки атак, организованные группой, начинаются с фишингового сообщения, которое включает полезную нагрузку в кодировке Base64 в исходном коде HTML, который, в свою очередь, декодируется для внедрения JavaScript с удаленного сервера путем использования уязвимости XSS.
"Таким образом, отправляя специально созданное сообщение электронной почты, злоумышленники могут загружать произвольный код JavaScript в контексте окна браузера пользователя Roundcube", - пояснил Фау. "Никакого ручного взаимодействия, кроме просмотра сообщения в веб-браузере, не требуется".
На втором этапе JavaScript (с checkupdate.js) - это загрузчик, который облегчает выполнение окончательного JavaScript и грузоподъемности, что позволяет актер опасный извлекать сообщения электронной почты для командования и контроля (С2) сервера.
"Несмотря на низкий уровень сложности инструментария группы, он представляет угрозу для правительств Европы из-за своей настойчивости, очень регулярного проведения фишинговых кампаний и из-за того, что значительное количество интернет-приложений обновляется нерегулярно, хотя известно, что они содержат уязвимости", - сказал Фау.
"Winter Vivern активизировала свою деятельность, используя уязвимость нулевого дня в Roundcube", - сказал исследователь безопасности ESET Матье Фау в новом отчете, опубликованном сегодня. Ранее он использовал известные уязвимости в Roundcube и Zimbra, концептуальные доказательства которых доступны в Интернете".
Winter Vivern, также известная как TA473 и UAC-0114, является враждебным коллективом, цели которого совпадают с целями Беларуси и России. За последние несколько месяцев это было связано с нападениями на Украину и Польшу, а также государственные структуры по всей Европе и Индии.
Также считается, что группа ранее использовала другой недостаток Roundcube (CVE-2020-35730), что делает ее второй государственной группой после APT28, нацеленной на программное обеспечение веб-почты с открытым исходным кодом.
Новой уязвимостью безопасности, о которой идет речь, является CVE-2023-5631 (оценка CVSS: 5.4), сохраненная ошибка межсайтового скриптинга, которая может позволить удаленному злоумышленнику загрузить произвольный код JavaScript. Исправление было выпущено 14 октября 2023 года.
Цепочки атак, организованные группой, начинаются с фишингового сообщения, которое включает полезную нагрузку в кодировке Base64 в исходном коде HTML, который, в свою очередь, декодируется для внедрения JavaScript с удаленного сервера путем использования уязвимости XSS.
"Таким образом, отправляя специально созданное сообщение электронной почты, злоумышленники могут загружать произвольный код JavaScript в контексте окна браузера пользователя Roundcube", - пояснил Фау. "Никакого ручного взаимодействия, кроме просмотра сообщения в веб-браузере, не требуется".
На втором этапе JavaScript (с checkupdate.js) - это загрузчик, который облегчает выполнение окончательного JavaScript и грузоподъемности, что позволяет актер опасный извлекать сообщения электронной почты для командования и контроля (С2) сервера.
"Несмотря на низкий уровень сложности инструментария группы, он представляет угрозу для правительств Европы из-за своей настойчивости, очень регулярного проведения фишинговых кампаний и из-за того, что значительное количество интернет-приложений обновляется нерегулярно, хотя известно, что они содержат уязвимости", - сказал Фау.
