Winter Vivern, noto anche come TA473 e UAC-0114, è un collettivo avversario le cui obiettive coincidono con quelle di Bielorussia e Russia. Negli ultimi mesi, è stato attribuito ad attacchi contro Ucraina e Polonia, nonché entità governative in Europa e India. Il 11 ottobre 2023, è stato osservato che sfruttava una vulnerabilità zero-day nel software di posta elettronica Roundcube per estrarre messaggi di posta elettronica dagli account delle vittime.
Dettagli sulla vulnerabilità e sulle tecniche di attacco
La nuova vulnerabilità di sicurezza in questione è la CVE-2023-5631, un difetto di cross-site scripting memorizzato che potrebbe permettere a un attaccante remoto di caricare codice JavaScript arbitrario. Una correzione è stata rilasciata il 14 ottobre 2023. Le catene di attacco del gruppo iniziano con un messaggio di phishing che incorpora un payload codificato in Base64 nel codice sorgente HTML che, a sua volta, decodifica in un’iniezione di JavaScript da un server remoto sfruttando la vulnerabilità XSS. Matthieu Faou, ricercatore di sicurezza di ESET, ha spiegato che, inviando un messaggio di posta elettronica appositamente creato, gli aggressori possono caricare codice JavaScript arbitrario nel contesto della finestra del browser dell’utente Roundcube.
Implicazioni e rischi
Il JavaScript di seconda fase (checkupdate.js) è un loader che facilita l’esecuzione di un payload JavaScript finale che permette all’attore minaccioso di esfiltrare messaggi di posta elettronica a un server di comando e controllo (C2). Nonostante la bassa sofisticazione del set di strumenti del gruppo, rappresenta una minaccia per i governi europei a causa della sua persistenza, della regolarità con cui lancia campagne di phishing e del fatto che un numero significativo di applicazioni accessibili da Internet non vengono regolarmente aggiornate nonostante siano note per contenere vulnerabilità.