Beveiligingsonderzoekers ontdekten dat de bedreigingsactorengroep Winter Vivern, ook bekend als TA473 en UAC-0114, exploiteert een specifiek zero-day kwetsbaarheid.
De genoemde kwetsbaarheid is CVE-2023-5631, met een CVSS score van 5.4 in Roundcube-webmailsoftware, die in oktober werd geëxploiteerd 11, 2023. ESET-onderzoeker Matthieu Faou benadrukte het verhoogde dreigingsniveau, waarin staat dat Winter Vivern eerder vertrouwde op bekende kwetsbaarheden in Roundcube en Zimbra, met openbaar beschikbare proofs-of-concept.
Winter Vivern maakt gebruik van CVE-2023-5631 in Roundcube
Winter Vivern, in lijn met de belangen van Wit-Rusland en Rusland, heeft zich op Oekraïne gericht, Polen, en overheidsinstanties in heel Europa en India in de afgelopen maanden. Opmerkelijk, deze groep maakte gebruik van een andere Roundcube-fout (CVE-2020-35730) in augustus en september, waardoor het na APT28 de tweede natiestaatgroep is die zich richt op de open-source webmailsoftware.
De nieuw ontdekte kwetsbaarheid, CVE-2023-5631, is een opgeslagen cross-site scriptingfout. In oktober werd een oplossing voor dit probleem uitgebracht 16, 2023. De aanval omvat een phishing-bericht met een Base64-gecodeerde payload in de HTML-broncode, wat leidt tot de uitvoering van willekeurige JavaScript-code wanneer het slachtoffer het bericht in een webbrowser bekijkt.
Faou van ESET heeft de aanvalsketen gedetailleerd beschreven, waaruit blijkt dat een speciaal vervaardigd e-mailbericht het laden van willekeurige JavaScript-code in de browser van de Roundcube-gebruiker activeert. Het tweede fase JavaScript (checkupdate.js) dient als lader, waardoor de uitvoering van een laatste payload mogelijk wordt die de exfiltratie van e-mailberichten naar een command-and-control vergemakkelijkt (C2) server.
Ondanks de relatief ongecompliceerde toolset van Winter Vivern, de groep vormt een aanzienlijke bedreiging vanwege haar volharding, reguliere phishing-campagnes, en de prevalentie van internetgerichte applicaties met bekende kwetsbaarheden. Faou benadrukte het belang van snelle updates om het risico van deze bedreigingsacteur te beperken.