摘要: 据观察,名为 Winter Vivern 的威胁行为者于 2023 年 10 月 11 日利用 Roundcube 网络邮件软件中的零日漏洞,从受害者账户中获取邮件信息。 "ESET 安全研究员 Matthieu Faou 在今天发布的一份新报告中说:"Win...
据观察,名为 Winter Vivern 的威胁行为者于 2023 年 10 月 11 日利用 Roundcube 网络邮件软件中的零日漏洞,从受害者账户中获取邮件信息。
"ESET 安全研究员 Matthieu Faou 在今天发布的一份新报告中说:"Winter Vivern 利用 Roundcube 的零日漏洞加强了其行动。此前,它使用的是 Roundcube 和 Zimbra 中的已知漏洞,这些漏洞的概念验证可在网上获得。
Winter Vivern,又名 TA473 和 UAC-0114,是一个敌对组织,其目标与白俄罗斯和俄罗斯一致。在过去几个月中,该组织参与了针对乌克兰和波兰以及欧洲和印度政府实体的攻击。
据评估,该组织最近在 8 月和 9 月还利用了另一个漏洞 Roundcube(CVE-2020-35730),成为继 APT28 之后第二个以开源网络邮件软件为目标的民族国家组织。
新的安全漏洞是 CVE-2023-5631(CVSS 得分:5.4),这是一个存储的跨站脚本漏洞,远程攻击者可以利用它加载任意 JavaScript 代码。该漏洞的修复程序已于 2023 年 10 月 16 日发布。
该组织发起的攻击链从钓鱼信息开始,在 HTML 源代码中包含 Base64 编码的有效载荷,反过来,通过利用 XSS 漏洞,解码为来自远程服务器的 JavaScript 注入。
"Faou解释说:"总之,通过发送特制的电子邮件,攻击者能够在Roundcube用户浏览器窗口的上下文中加载任意JavaScript代码。"除了在网络浏览器中查看邮件外,不需要任何手动交互。
第二阶段的JavaScript(checkupdate.js)是一个加载器,可帮助执行最终的JavaScript有效载荷,使威胁行为者能够将电子邮件信息外泄到命令与控制(C2)服务器。
"Faou说:"尽管该组织的工具集复杂程度不高,但它对欧洲各国政府构成了威胁,因为它具有持久性,经常开展网络钓鱼活动,而且大量面向互联网的应用程序虽然已知存在漏洞,但却没有定期更新。
稿源:TheHackerNews.com、翻译:游侠安全网
