Beveiligingsonderzoekers ontdekten dat de bedreigingsactorengroep Winter Vivern, ook bekend als TA473 en UAC-0114, exploiteert een specifiek zero-day kwetsbaarheid.
De genoemde kwetsbaarheid is CVE-2023-5631, met een CVSS score van 5.4 in Roundcube-webmailsoftware, die in oktober werd geëxploiteerd 11, 2023. ESET-onderzoeker Matthieu Faou benadrukte het verhoogde dreigingsniveau, waarin staat dat Winter Vivern eerder vertrouwde op bekende kwetsbaarheden in Roundcube en Zimbra, met openbaar beschikbare proofs-of-concept.
Winter Vivern maakt gebruik van CVE-2023-5631 in Roundcube
Winter Vivern, in lijn met de belangen van Wit-Rusland en Rusland, heeft zich op Oekraïne gericht, Polen, en overheidsinstanties in heel Europa en India in de afgelopen maanden. Opmerkelijk, deze groep maakte gebruik van een andere Roundcube-fout (CVE-2020-35730) in augustus en september, waardoor het na APT28 de tweede natiestaatgroep is die zich richt op de open-source webmailsoftware.
De nieuw ontdekte kwetsbaarheid, CVE-2023-5631, is een opgeslagen cross-site scriptingfout. In oktober werd een oplossing voor dit probleem uitgebracht 16, 2023. De aanval omvat een phishing-bericht met een Base64-gecodeerde payload in de HTML-broncode, wat leidt tot de uitvoering van willekeurige JavaScript-code wanneer het slachtoffer het bericht in een webbrowser bekijkt.
Faou van ESET heeft de aanvalsketen gedetailleerd beschreven, waaruit blijkt dat een speciaal vervaardigd e-mailbericht het laden van willekeurige JavaScript-code in de browser van de Roundcube-gebruiker activeert. Het tweede fase JavaScript (checkupdate.js) dient als lader, waardoor de uitvoering van een laatste payload mogelijk wordt die de exfiltratie van e-mailberichten naar een command-and-control vergemakkelijkt (C2) server.
Ondanks de relatief ongecompliceerde toolset van Winter Vivern, de groep vormt een aanzienlijke bedreiging vanwege haar volharding, reguliere phishing-campagnes, en de prevalentie van internetgerichte applicaties met bekende kwetsbaarheden. Faou benadrukte het belang van snelle updates om het risico van deze bedreigingsacteur te beperken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: