Kış Vivern Rus hackleme grubu, en az 11 Ekim'den bu yana Avrupa hükümet kuruluşlarını ve düşünce kuruluşlarını hedefleyen saldırılarda bir yuvarlak küp webmasından yararlanıyor.
Roundcube geliştirme ekibi, ESET araştırmacıları tarafından 16 Ekim'de bildirilen depolanan siteler arası komut dosyası (XSS) güvenlik açığını (CVE-2023-5631) düzelten güvenlik güncellemelerini yayınladı.
Bu güvenlik yamaları, Slovak siber güvenlik şirketinin gerçek dünya saldırılarında sıfır gününü kullanan Rus tehdit aktörlerini tespit etmesinden beş gün sonra itildi.
ESET'in bulgularına göre, Siber Teslim Grubu (TA473 olarak da bilinir), keyfi JavaScript kodunu uzaktan enjekte etmek için özenle hazırlanmış SVG belgeleri içeren HTML e -posta mesajları kullandı.
Kimlik avı mesajları Outlook ekibini taklit etti ve potansiyel kurbanları kötü niyetli e-postalar açmaya kandırmaya çalıştı ve Roundcube e-posta sunucusu güvenlik açığından yararlanan birinci aşama yükü otomatik olarak tetikledi.
Saldırılara düşen son JavaScript yükü, kötü niyetli aktörlerin tehlikeye atılan webmail sunucularından e -postaları hasat etmesine ve çalmasına yardımcı oldu.
ESET, "Özel olarak hazırlanmış bir e -posta mesajı göndererek, saldırganlar Roundcube kullanıcısının tarayıcı penceresi bağlamında keyfi JavaScript kodu yükleyebilir. Bir web tarayıcısında mesajı görüntülemek dışında manuel müdahale gerekmez." Dedi.
"Son JavaScript yükü [..], geçerli Roundcube hesabındaki klasörleri ve e -postaları listeleyebilir ve e -posta mesajlarını C&C sunucusuna sunabilir."
İlk olarak Nisan 2021'de tespit edilen Winter Vivern, Hindistan, İtalya, Litvanya, Ukrayna ve Vatikan gibi uluslar da dahil olmak üzere dünya çapında hükümet kuruluşlarının kasıtlı hedeflemesi için dikkat çekti.
Sentinellabs araştırmacılarına göre, grubun hedefleri Belarus ve Rusya hükümetlerinin çıkarlarına yakından uyumludur.
Winter Vivern, en az 2022'den beri hükümet kuruluşlarının sahip olduğu Zimbra ve Roundcube e -posta sunucularını aktif olarak hedefliyor.
Bu saldırılar, ESET telemetri verilerine göre Ağustos ve Eylül 2023 arasında Roundcube XSS güvenlik açığından (CVE-20120-35730) yararlanmayı içeriyordu.
Özellikle, aynı kırılganlık, Rusya'nın genel personelin ana istihbarat müdürlüğüne (GRU) bağlı Rus APT28 Askeri İstihbarat Hacker'ları tarafından Ukrayna hükümetine ait Roundcube e -posta sunucularını tehlikeye atmak için kullanıldı.
Rus siberler ayrıca NATO ülkelerine, NATO yetkililerine, hükümetlere ve askeri personele ait e-postaları çalmak için NATO ülkelerine yönelik saldırılarda Zimbra CVE-2022-27926 XSS kırılganlığından da yararlandı.
ESET, "Winter Vivern, Roundcube'de sıfır gün güvenlik açığı kullanarak operasyonlarını artırdı. Daha önce, Roundcube ve Zimbra'da bilinen güvenlik açıklarını kullanıyordu, bu konsept kanıtlarının çevrimiçi olarak mevcut olduğu." Dedi.
Diyerek şöyle devam etti: "Grup, kalıcılığı, kimlik avı kampanyalarının çok düzenli çalıştırılması nedeniyle Avrupa'daki hükümetler için bir tehdittir ve önemli sayıda internete bakan uygulama, güvenlik açıkları içerdiği bilinmesine rağmen düzenli olarak güncellenmediği için."
Barracuda sıfır gün saldırılarında hacklenen ABD govt e-posta sunucuları
Fransa, Rus devlet hackerlarının sayısız kritik ağı ihlal ettiğini söylüyor
Bilgisayar korsanları arka kapı Rusya Devleti, veri hırsızlığı için endüstriyel kuruluşlar
İranlı korsanlar 8 ay boyunca Orta Doğu Govt Network'te gizlendi
Microsoft ihlali 60.000 ABD Devlet Bölümü e -postalarının hırsızlığına yol açtı
Kaynak: Bleeping Computer