.
O grupo de espionagem cibernética Winter Vivern está explorando uma vulnerabilidade XSS de dia zero em ataques a governos europeus.
Os investigadores da ESET, que descobriram a atividade, não nomearam as entidades governamentais específicas que visavam, mas dada a ligação de Winter Vivern com a Rússia e a Bielorrússia, é provável que sejam adversários desses países.
Rastreado como CVE-2023-5631, o dia zero foi encontrado no cliente de webmail gratuito e de código aberto Roundcube. A ESET relatou a vulnerabilidade à equipe Roundcube em 12 de outubro e um patch foi desenvolvido dois dias depois.
A exploração começou com um e-mail de phishing de aparência convincente que visava falsificar a equipe do Microsoft Outlook. O nome de exibição foi definido como “Team Outlook”, mas uma oferta foi um erro de digitação no endereço de e-mail falsificado “team.managment@outlook.com.”
Tudo o que a vítima precisava fazer era abrir o e-mail em um navegador da web, cujo assunto era “Comece no seu Outlook”, e uma carga maliciosa seria lançada. Ele estava oculto em uma tag SVG no final do código-fonte HTML do e-mail.
O código JavaScript seria então carregado para enumerar pastas e e-mails na conta Roundcube da vítima e enviar as mensagens de volta aos invasores usando seu servidor C2.
“Apesar da baixa sofisticação do conjunto de ferramentas do grupo, é uma ameaça para os governos na Europa devido à sua persistência, à execução muito regular de campanhas de phishing e porque um número significativo de aplicações voltadas para a Internet não são atualizadas regularmente, embora sejam conhecidas por conter vulnerabilidades”, ESET disse.
Winter Vivern tem explorado vulnerabilidades conhecidas em Roundcube e Zimbra para suas campanhas de espionagem desde 2022, mas esta observação de dia zero mostra um avanço em suas operações, segundo os pesquisadores.
Por exemplo, os pesquisadores observaram Winter Vivern explorando CVE-2020-35730 recentemente, em agosto e setembro, apesar da vulnerabilidade ter três anos.
Fancy Bear, o grupo avançado de ameaças persistentes (APT) que se acredita ter ligações com o GRU da Rússia, também foi flagrado explorando a mesma velha vulnerabilidade XSS no Roundcube, e às vezes visando as mesmas vítimas que Winter Vivern.
O grupo é conhecido por visar principalmente entidades na Europa e na Ásia Central, mas no início deste ano tinha ataques contra funcionários do governo dos EUAbem como legisladores europeus, presos a ele.
Neste caso, funcionários de uma série de outros governos europeus foram alvo do grupo “desintegrado”, como disse um investigador, e da sua exploração generalizada de uma vulnerabilidade Zimbra XSS com um ano de idade.
Tom Hegel, pesquisador sênior de ameaças da SentinelOne, disse na época que Winter Vivern obteve sucesso em campanhas com recursos limitados e mostrou alto grau de criatividade quando se tratava de resolver problemas.
Acredita-se que o grupo tenha iniciado suas operações em 2020, depois que DomainTools o descobriu em 2021. ®
.
