El 11 de octubre de 2023, se observó que el actor de amenazas conocido como Winter Vivern explotaba una falla de día cero en el software de correo web Roundcube para recopilar mensajes de correo electrónico de las cuentas de las víctimas.
“Winter Vivern ha intensificado sus operaciones mediante el uso de una vulnerabilidad de día cero en Roundcube”, dijo el investigador de seguridad de ESET, Matthieu Faou, en un nuevo informe publicado hoy. Anteriormente, utilizaba vulnerabilidades conocidas en Roundcube y Zimbra, para las cuales las pruebas de concepto están disponibles en línea”.
Winter Vivern, también conocido como TA473 y UAC-0114, es un colectivo antagónico cuyos objetivos se alinean con los de Bielorrusia y Rusia. En los últimos meses, se ha atribuido a ataques contra Ucrania y Polonia, así como contra entidades gubernamentales de toda Europa e India.
También se ha evaluado que el grupo ha explotado otra falla, Roundcube, en agosto y septiembre (CVE-2020-35730), lo que lo convierte en el segundo grupo de Nation-State después de APT28 en atacar el software de correo web de código abierto.
La nueva vulnerabilidad de seguridad en cuestión es CVE-2023-5631 (puntuación CVSS: 5,4), una falla de secuencias de comandos almacenadas entre sitios que podría permitir a un atacante remoto cargar código JavaScript arbitrario. El 16 de octubre de 2023 se lanzó una corrección.
Las cadenas de ataque montadas por el grupo comienzan con un mensaje de phishing que incorpora una carga útil codificada en Base64 en el código fuente HTML que, a su vez, se decodifica en una inyección de JavaScript desde un servidor remoto al convertir la falla XSS en un arma.
“En resumen, al enviar un mensaje de correo electrónico especialmente diseñado, los atacantes pueden cargar código JavaScript arbitrario en el contexto de la ventana del navegador del usuario de Roundcube”, explicó Faou. “No se requiere ninguna interacción manual que no sea ver el mensaje en un navegador web”.
El JavaScript de segunda etapa (checkupdate.js) es un cargador que facilita la ejecución de una carga útil final de JavaScript que permite al actor de amenazas filtrar mensajes de correo electrónico a un servidor de comando y control (C2).
“A pesar de la baja sofisticación del conjunto de herramientas del grupo, es una amenaza para los gobiernos en Europa debido a su persistencia, la ejecución muy regular de campañas de phishing y porque un número significativo de aplicaciones orientadas a Internet no se actualizan regularmente, aunque se sabe que contienen vulnerabilidades”, dijo Faou.