Seguridad

ESET descubre ataques de Winter Vivern a servidores Roundcube de gobiernos en Europa

Los investigadores de ESET, durante su revisión periódica de las operaciones de ciberespionaje de Winter Vivern, descubrieron que el grupo comenzó recientemente a explotar una vulnerabilidad de día cero de tipo XSS en el servidor de Roundcube Webmail. En un ataque XSS, se inyectan secuencias de comandos maliciosos en sitios web de otro modo confiables. Según los datos de telemetría de ESET, la campaña se dirigió a servidores de Roundcube Webmail pertenecientes a entidades gubernamentales y un grupo de reflexión, todos en Europa. El equipo de investigación de ESET, ESET Research, recomienda actualizar Roundcube Webmail a la última versión disponible lo antes posible.

ESET descubrió la vulnerabilidad el 12 de octubre e informó de inmediato al equipo de Roundcube, que parcheó la vulnerabilidad y lanzó actualizaciones de seguridad poco después, el 14 de octubre. «Queremos agradecer a los desarrolladores de Roundcube por su pronta respuesta y por parchear la vulnerabilidad en un período de tiempo tan corto«, dice el investigador de ESET, Matthieu Faou, y quien descubrió la vulnerabilidad y los ataques de Winter Vivern.

«Winter Vivern representa una amenaza para los gobiernos de Europa debido a su persistencia, su ejecución muy consistente de campañas de phishing y porque un número significativo de aplicaciones con acceso a Internet no se actualizan regularmente a pesar de que se sabe que contienen vulnerabilidades«, explica Faou.

La explotación de la vulnerabilidad de XSS CVE-2023-5631 se puede realizar de forma remota al enviar un mensaje de correo electrónico especialmente diseñado. «A simple vista, el correo electrónico no parece malicioso, pero si examinamos el código fuente HTML, podemos ver una etiqueta para gráficos SVG al final que contiene una carga maliciosa codificada«, dice Faou. Al enviar un mensaje de correo electrónico especialmente diseñado, los atacantes pueden cargar código JavaScript arbitrario en el contexto de la ventana del navegador del usuario de Roundcube. No se requiere ninguna interacción manual aparte de ver el mensaje en un navegador web. La carga final de JavaScript puede extraer mensajes de correo electrónico al servidor de mando y control del grupo.

Winter Vivern es un grupo de ciberespionaje que se cree que ha estado activo desde al menos 2020 y que se tiene como objetivos a gobiernos en Europa y Asia Central. Para comprometer a sus objetivos, el grupo utiliza documentos maliciosos, sitios web de phishing y una puerta trasera de PowerShell personalizada. ESET cree, aunque con pocas probabilidades, que Winter Vivern podría estar relacionado con MoustachedBouncer, un grupo alineado con Bielorrusia y sofisticado, del que informó la compañía por primera vez en agosto de 2023. Winter Vivern ha tenido como objetivos servidores de correo electrónico de Zimbra y Roundcube pertenecientes a entidades gubernamentales desde al menos 2022.

Para más información técnica sobre Winter Vivern, su último ataque y la vulnerabilidad de Roundcube, consulta la publicación “Winter Vivern exploits zero-day vulnerability in Roundcube Webmail servers” en WeLiveSecurity.

Matthieu Faou.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.