От потенциальной жертвы требуется лишь открыть письмо, а преступники сами найдут нужный путь.
Киберпреступники под псевдонимом Winter Vivern были замечены в эксплуатации уязвимости нулевого дня в программном обеспечении для обмена почтой Roundcube Webmail. Атаки были впервые зафиксированы 11 октября этого года, а целью хакеров стала кража электронных писем из аккаунтов жертв.
Исследователи ESET, обнаружившие атаку , рапортовали о возобновлении хакерами Winter Vivern своей деятельности. Специалисты отметили, что ранее эта группировка уже эксплуатировала другие известные уязвимости Roundcube и Zimbra.
Группа Winter Vivern известна также как TA473 и UAC-0114. На протяжении последних месяцев ей приписывают атаки против Украины и Польши, а также государственных организаций по всей Европе и Индии.
Новая уязвимость, о которой рассказали специалисты ESET, имеет идентификатор CVE-2023-5631 и оценку по шкале CVSS в 5,4 балла. Она позволяет удалённым злоумышленникам загружать произвольный JavaScript-код. Исправление было выпущено 14 октября этого года.
Цепочки атак, организованные Winter Vivern, начинаются с фишингового сообщения, которое включает полезную нагрузку в кодировке Base64 в исходном коде HTML, который, в свою очередь, декодируется для внедрения JavaScript с удалённого сервера путём использования уязвимости межсайтового скриптинга (XSS).
Маттью Фао, исследователь ESET, пояснил: «Отправляя специально созданное электронное письмо, злоумышленники могут загружать произвольный код JavaScript в контексте окна браузера пользователя Roundcube. Никаких ручных действий от пользователя, кроме просмотра письма в веб-браузере, не требуется».
«Несмотря на невысокую сложность инструментария группировки, она представляет угрозу для правительств Европы из-за своего упорства и регулярного запуска фишинговых кампаний», — подчеркнул Фао.
Ладно, не доказали. Но мы работаем над этим