Нископрофилната група за заплахи Winter Vivern е използвала нулев ден в сървърите за уеб поща Roundcube с кампания за зловредни имейли, насочена към правителствени организации и мозъчен тръст в Европа, която изисква от потребителя само да прегледа съобщението.

По-рано този месец изследователи от ESET Research забелязаха, че групата изпраща специално създадено имейл съобщение, което зарежда произволен JavaScript код в контекста на прозореца на браузъра на потребителя на Roundcube, за да експлоатира новооткрит cross-site scripting (XSS) недостатък, проследен като CVE-2023-5631. Експлойтът с едно кликване не изисква ръчно взаимодействие от страна на потребителя, освен да прегледа съобщението в уеб браузъра, съобщават изследователите в публикация в блога, публикувана на 25 октомври.

Roundcube е свободно достъпно решение за уеб поща с отворен код, което е особено популярно сред малки и средни организации. Недостатъкът засяга версиите преди 1.4.15, 1.5.x преди 1.5.5 и 1.6.x преди 1.6.4 и позволява съхранен XSS чрез HTML имейл съобщение със създаден SVG документ поради поведението на „program/lib/Roundcube/rcube_washtml.php“, според списъка с CVE. Това от своя страна позволява на отдалечен нападател да зареди произволен код на JavaScript.

ESET Research съобщи за уязвимостта на екипа на Roundcube на 12 октомври и получи отговор и кръпка от компанията два дни по-късно, на 14 октомври. На 16 октомври Roundcube пусна актуализации на сигурността с нови версии 1.6.4, 1.5.5 и 1.4.15, за да отстрани недостатъка.

Дългосрочно насочване

Дейността на Winter Vivern често се подценява от изследователите по сигурността, но групата е активна поне от декември 2020 г. и показва симпатии към Русия и Беларус, като извършва кибершпионаж, който обслужва интересите на тези държави. Групата обикновено използва злонамерени документи, фишинг уебсайтове и персонализирана задна врата PowerShell, за да компрометира целите си, и може да е свързана с усъвършенствана група MoustachedBouncer, свързана с Беларус.

Последната дейност, наблюдавана от ESET – която следи отблизо Winter Vivern от около година – съответства на типичните методи на групата, въпреки че преди това те са използвали недостатъци, които вече са били публично достояние, отбелязва изследователят от ESET Матийо Фау.

„Поне от 2022 г. насам те използват XSS уязвимости в Zimbra и Roundcube, за да зареждат произволен JavaScript код и да крадат имейли“, казва той пред Dark Reading. „Повечето от тези уязвимости обаче бяха известни и като такива те можеха да работят само на непоправени пощенски сървъри“.

Фактът, че сега групата „изгаря уязвимостите от нулев ден“ и атакува дори актуализирани версии на широко използвани уебмейл сървъри, може да е предвестник на бъдеща дейност, тъй като показва дългосрочен интерес към европейските правителствени организации като основни цели, казва Фау.

Как работи кампанията

Последната кампания започва с фишинг имейл до целевите групи, изпратен от адреса team.managment@outlook.com с тема „Започнете работа с вашия Outlook“. Съобщението претендира, че е от The Microsoft Accounts Team и има за цел да напътства потребителите с техните акаунти в Outlook, като изглежда достатъчно невинно.

Самото разглеждане на съобщението обаче задейства процес, стимулиран от SVG таг в края на изходния HTML код на съобщението, който включва полезен товар, кодиран с base64. Декодирането на полезния товар води до създаването на JavaScript код, който се изпълнява в браузъра на жертвата в контекста на нейната сесия в Roundcube, според ESET.

Изследователите разбраха, че експлойтът е за недостатък от нулев ден, когато инжектирането на JavaScript сработи на напълно поправена инстанция на Roundcube. Те установиха, че експлоатираната XSS уязвимост засяга „скрипта rcube_washtml.php“ от страна на сървъра, който не обработва правилно зловредния SVG документ, преди да бъде добавен към HTML страницата, интерпретирана от потребителя на Roundcube.

Крайният полезен товар на JavaScript в атаката може да направи списък на папките и имейлите в текущия акаунт на Roundcube и да ексфилтрира имейл съобщения към сървъра за командване и контрол на Winter Vivern, като прави HTTP заявки към „https://recsecas[.]com/controlserver/saveMessage“.

Поправeте сега

Потребителите на уязвими инстанции на Roundcube се призовават да актуализират версиите си, за да избегнат компрометиране. Въпреки това, в случай на бъдещи недостатъци от типа нулев ден, открити и впоследствие експлоатирани от Уинтър Виверн, тази защита няма да е достатъчна, отбелязва Фау.

Други практики за защита на крайни точки, които могат да защитят уязвимите системи в случай на подобни експлойти от типа нулев ден, биха били въвеждането на технологии, които автоматично блокират зареждането на полезен товар на JavaScript и ексфилтрирането на имейли, съветва той. „В този смисъл се препоръчва и внедряването на решение за защита на крайните точки на всички машини.“