Les chercheurs en sécurité ont découvert que le groupe d'acteurs menaçants Winter Vivern, également connu sous le nom de TA473 et UAC-0114, exploite un vulnérabilité du jour zéro.
La vulnérabilité mentionnée est CVE-2023-5631, avec un score CVSS de 5.4 dans le logiciel de messagerie Web Roundcube, qui a été exploité en octobre 11, 2023. Le chercheur d'ESET Matthieu Faou a souligné le niveau de menace accru, déclarant que Winter Vivern s'appuyait auparavant sur des vulnérabilités connues dans Roundcube et Zimbra, avec des preuves de concept accessibles au public.
Winter Vivern exploite CVE-2023-5631 dans Roundcube
Viverne d'hiver, aligné sur les intérêts de la Biélorussie et de la Russie, a ciblé l'Ukraine, Pologne, et des entités gouvernementales en Europe et en Inde ces derniers mois. Notamment, ce groupe a exploité une autre faille de Roundcube (CVE-2020-35730) en août et septembre, ce qui en fait le deuxième groupe d'États-nations après APT28 à cibler le logiciel de messagerie Web open source.
La vulnérabilité récemment découverte, CVE-2023-5631, est une faille de script intersite stockée. Un correctif pour ce problème a été publié en octobre 16, 2023. L'attaque implique un message de phishing avec une charge utile codée en Base64 dans le code source HTML., conduisant à l'exécution de code JavaScript arbitraire lorsque la victime consulte le message dans un navigateur Web.
Faou d'ESET a détaillé la chaîne d'attaque, révélant qu'un message électronique spécialement conçu déclenche le chargement de code JavaScript arbitraire dans le navigateur de l'utilisateur Roundcube. Le JavaScript de deuxième étape (checkupdate.js) sert de chargeur, permettant l'exécution d'une charge utile finale qui facilite l'exfiltration des messages électroniques vers un système de commande et de contrôle (C2) serveur.
Malgré l'ensemble d'outils relativement peu sophistiqué de Winter Vivern, le groupe constitue une menace importante en raison de sa persistance, campagnes de phishing régulières, et la prévalence des applications Internet présentant des vulnérabilités connues. Faou a souligné l'importance de mises à jour rapides pour atténuer le risque posé par cet acteur menaçant..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: