Новости Хак-группа Winter Vivern атакует правительственные учреждения

[BOOX]

ESET

Для просмотра ссылки необходимо нажать Вход или Регистрация

, что русскоязычная хакерская группа Winter Vivern (она жеTA473) эксплуатирует XSS-уязвимость нулевого дня в Roundcube Webmail для атак на европейские правительственные учреждения и аналитические центры.

«Winter Vivern расширила свои операции, используя уязвимость нулевого дня в Roundcube. Ранее эта группа уже использовала известные уязвимости в Roundcube и

Для просмотра ссылки необходимо нажать Вход или Регистрация

, PoC-эксплоиты для которых были доступны в интернете, — сообщает ESET. — Группа представляет угрозу для правительств европейских стран благодаря своей организованности, регулярному проведению фишинговых кампаний, а также тому, что значительное количество доступных через интернет приложений не получают регулярных обновлений, хотя известно, что они содержат уязвимости».

По данным исследователей, обнаруженные атаки продолжаются как минимум с 11 октября 2023 года. В настоящее время 0-day уязвимость в Roundcube Webmail, получившая идентификатор

Для просмотра ссылки необходимо нажать Вход или Регистрация

, уже

Для просмотра ссылки необходимо нажать Вход или Регистрация

разработчиками.

Патч вышел через пять дней после первого обнаружения атак. Известно, что проблема затрагивала Roundcube версий от 1.6.x до 1.6.4, от 1.5.x до 1.5.5 и от 1.4.x до 1.4.15.

Согласно результатам исследования ESET, хакеры использовали HTML-письма, содержащие специально подготовленные SVG-документы, позволявшие осуществлять удаленные инъекции произвольного JavaScript-кода.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Фишинговое письмо
В фишинговые письмах атакующие выдавали себя за сотрудников поддержки Outlook и пытались склонить потенциальных жертв к открытию вредоносных писем, после чего происходила эксплуатация 0-day уязвимости в Roundcube Webmail, и автоматически запускалась полезная нагрузка первого этапа. В итоге этот JavaScript-пейлоад, помогал злоумышленникам собирать и похищать электронные письма со взломанных серверов.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Код письма с тегом SVG в конце

«Отправив специально подготовленный email, злоумышленники получали возможность загрузить произвольный JavaScript-код в контексте окна браузера пользователя Roundcube. При этом не требовалось никакого “ручного” вмешательства, не считая просмотра сообщения в браузере, — пишут аналитики ESET. — Итоговая полезная нагрузка может составить список папок и писем в текущей учетной записи Roundcube и передать все почтовые сообщения на управляющий сервер».

Для просмотра ссылки необходимо нажать Вход или Регистрация