Pesquisadores de segurança descobriram que o grupo de atores de ameaças Winter Vivern, também conhecido como TA473 e UAC-0114, está explorando um determinado vulnerabilidade zero-day.
A referida vulnerabilidade é CVE-2023-5631, com uma pontuação CVSS de 5.4 no software de webmail Roundcube, que foi explorado em outubro 11, 2023. O pesquisador da ESET Matthieu Faou enfatizou o elevado nível de ameaça, afirmando que Winter Vivern anteriormente dependia de vulnerabilidades conhecidas em Roundcube e Zimbra, com provas de conceito disponíveis publicamente.
Winter Vivern explorando CVE-2023-5631 em Roundcube
Viver de Inverno, alinhado com os interesses da Bielorrússia e da Rússia, tem como alvo a Ucrânia, Polônia, e entidades governamentais em toda a Europa e Índia nos últimos meses. Notavelmente, este grupo explorou outra falha do Roundcube (CVE-2020-35730) em agosto e setembro, tornando-se o segundo grupo de estado-nação depois do APT28 a atingir o software de webmail de código aberto.
A vulnerabilidade recém-descoberta, CVE-2023-5631, é uma falha de script entre sites armazenada. Uma correção para esse problema foi lançada em outubro 16, 2023. O ataque envolve uma mensagem de phishing com uma carga útil codificada em Base64 no código-fonte HTML, levando à execução de código JavaScript arbitrário quando a vítima visualiza a mensagem em um navegador da web.
Faou da ESET detalhou a cadeia de ataque, revelando que uma mensagem de e-mail especialmente criada aciona o carregamento de código JavaScript arbitrário no navegador do usuário do Roundcube. O JavaScript de segundo estágio (checkupdate.js) serve como carregador, permitindo a execução de uma carga final que facilita a exfiltração de mensagens de e-mail para um comando e controle (C2) servidor.
Apesar do conjunto de ferramentas relativamente pouco sofisticado de Winter Vivern, o grupo representa uma ameaça significativa devido à sua persistência, campanhas regulares de phishing, e a prevalência de aplicativos voltados para a Internet com vulnerabilidades conhecidas. Faou enfatizou a importância de atualizações imediatas para mitigar o risco representado por este ator de ameaça.