26.10.2023 | Хакеры Winter Vivern активно эксплуатируют 0-day уязвимость в почтовом клиенте Roundcube |
Киберпреступники под псевдонимом Winter Vivern были замечены в эксплуатации уязвимости нулевого дня в программном обеспечении для обмена почтой Roundcube Webmail . Атаки были впервые зафиксированы 11 октября этого года, а целью хакеров стала кража электронных писем из аккаунтов жертв. Исследователи ESET, обнаружившие атаку , рапортовали о возобновлении хакерами Winter Vivern своей деятельности. Специалисты отметили, что ранее эта группировка уже эксплуатировала другие известные уязвимости Roundcube и Zimbra . Группа Winter Vivern известна также как TA473 и UAC-0114. На протяжении последних месяцев ей приписывают атаки против Украины и Польши, а также государственных организаций по всей Европе и Индии. Новая уязвимость, о которой рассказали специалисты ESET, имеет идентификатор CVE-2023-5631 и оценку по шкале CVSS в 5,4 балла. Она позволяет удалённым злоумышленникам загружать произвольный JavaScript -код. Исправление было выпущено 14 октября этого года. Цепочки атак, организованные Winter Vivern, начинаются с фишингового сообщения, которое включает полезную нагрузку в кодировке Base64 в исходном коде HTML , который, в свою очередь, декодируется для внедрения JavaScript с удалённого сервера путём использования уязвимости межсайтового скриптинга ( XSS ). Маттью Фао, исследователь ESET, пояснил: «Отправляя специально созданное электронное письмо, злоумышленники могут загружать произвольный код JavaScript в контексте окна браузера пользователя Roundcube. Никаких ручных действий от пользователя, кроме просмотра письма в веб-браузере, не требуется». «Несмотря на невысокую сложность инструментария группировки, она представляет угрозу для правительств Европы из-за своего упорства и регулярного запуска фишинговых кампаний», — подчеркнул Фао. |
Проверить безопасность сайта