Los investigadores de seguridad descubrieron que el grupo de actores de amenazas Winter Vivern, también conocido como TA473 y UAC-0114, está explotando un específico vulnerabilidad de día cero.
Dicha vulnerabilidad es CVE-2023-5631., con una puntuación CVSS de 5.4 en el software de correo web Roundcube, que fue explotado en octubre 11, 2023. El investigador de ESET Matthieu Faou destacó el mayor nivel de amenaza, afirmando que Winter Vivern anteriormente se basó en vulnerabilidades conocidas en Roundcube y Zimbra, con pruebas de concepto disponibles públicamente.
Winter Vivern explota CVE-2023-5631 en Roundcube
Vivern de invierno, alineado con los intereses de Bielorrusia y Rusia, ha apuntado a Ucrania, Polonia, y entidades gubernamentales en toda Europa e India en los últimos meses.. Notablemente, este grupo aprovechó otra falla de Roundcube (CVE-2020-35730) en agosto y septiembre, convirtiéndolo en el segundo grupo de estado-nación después de APT28 en apuntar al software de correo web de código abierto.
La vulnerabilidad recién descubierta, CVE-2023-5631, es una falla almacenada de secuencias de comandos entre sitios. En octubre se publicó una solución para este problema. 16, 2023. El ataque implica un mensaje de phishing con una carga útil codificada en Base64 en el código fuente HTML., lo que lleva a la ejecución de código JavaScript arbitrario cuando la víctima ve el mensaje en un navegador web.
Faou de ESET detalló la cadena de ataque, revelando que un mensaje de correo electrónico especialmente diseñado desencadena la carga de código JavaScript arbitrario en el navegador del usuario de Roundcube. El JavaScript de la segunda etapa (checkupdate.js) sirve como cargador, permitiendo la ejecución de una carga útil final que facilita la exfiltración de mensajes de correo electrónico a un comando y control (C2) servidor.
A pesar del conjunto de herramientas relativamente sencillo de Winter Vivern, El grupo representa una amenaza significativa debido a su persistencia., campañas regulares de phishing, y la prevalencia de aplicaciones conectadas a Internet con vulnerabilidades conocidas. Faou enfatizó la importancia de actualizaciones rápidas para mitigar el riesgo que representa este actor de amenazas..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: