I ricercatori di sicurezza hanno scoperto che il gruppo di autori di minacce Winter Vivern, noto anche come TA473 e UAC-0114, sta sfruttando uno specifico vulnerabilità zero-day.
La suddetta vulnerabilità è CVE-2023-5631, con un punteggio di CVSS 5.4 nel software di posta elettronica Roundcube, che è stato sfruttato in ottobre 11, 2023. Il ricercatore ESET Matthieu Faou ha sottolineato l’aumento del livello di minaccia, affermando che Winter Vivern in precedenza faceva affidamento su vulnerabilità note in Roundcube e Zimbra, con prove di concetto pubblicamente disponibili.
Winter Vivern sfrutta CVE-2023-5631 in Roundcube
Viverna invernale, allineato con gli interessi della Bielorussia e della Russia, ha preso di mira l’Ucraina, Polonia, ed enti governativi in tutta Europa e India negli ultimi mesi. In particolare, questo gruppo ha sfruttato un altro difetto di Roundcube (CVE-2020-35730) in agosto e settembre, rendendolo il secondo gruppo-stato-nazione dopo APT28 a prendere di mira il software di webmail open source.
La vulnerabilità appena scoperta, CVE-2023-5631, è un difetto di scripting cross-site archiviato. Una correzione per questo problema è stata rilasciata in ottobre 16, 2023. L'attacco prevede un messaggio di phishing con un payload codificato Base64 nel codice sorgente HTML, portando all'esecuzione di codice JavaScript arbitrario quando la vittima visualizza il messaggio in un browser web.
Faou di ESET ha dettagliato la catena di attacco, rivelando che un messaggio di posta elettronica appositamente predisposto attiva il caricamento di codice JavaScript arbitrario nel browser dell'utente Roundcube. Il JavaScript di seconda fase (checkupdate.js) funge da caricatore, consentendo l'esecuzione di un payload finale che facilita l'esfiltrazione dei messaggi di posta elettronica verso un comando e controllo (C2) server.
Nonostante il set di strumenti relativamente poco sofisticato di Winter Vivern, il gruppo rappresenta una minaccia significativa a causa della sua persistenza, regolari campagne di phishing, e la prevalenza di applicazioni rivolte a Internet con vulnerabilità note. Faou ha sottolineato l'importanza di aggiornamenti tempestivi per mitigare il rischio rappresentato da questo attore pericoloso.