Новости Хак-группа Winter Vivern атакует правительственные учреждения

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.959
RUB
50
ESET , что русскоязычная хакерская группа Winter Vivern (она жеTA473) эксплуатирует XSS-уязвимость нулевого дня в Roundcube Webmail для атак на европейские правительственные учреждения и аналитические центры.


«Winter Vivern расширила свои операции, используя уязвимость нулевого дня в Roundcube. Ранее эта группа уже использовала известные уязвимости в Roundcube и , PoC-эксплоиты для которых были доступны в интернете, — сообщает ESET. — Группа представляет угрозу для правительств европейских стран благодаря своей организованности, регулярному проведению фишинговых кампаний, а также тому, что значительное количество доступных через интернет приложений не получают регулярных обновлений, хотя известно, что они содержат уязвимости».

По данным исследователей, обнаруженные атаки продолжаются как минимум с 11 октября 2023 года. В настоящее время 0-day уязвимость в Roundcube Webmail, получившая идентификатор , уже разработчиками.

Патч вышел через пять дней после первого обнаружения атак. Известно, что проблема затрагивала Roundcube версий от 1.6.x до 1.6.4, от 1.5.x до 1.5.5 и от 1.4.x до 1.4.15.

Согласно результатам исследования ESET, хакеры использовали HTML-письма, содержащие специально подготовленные SVG-документы, позволявшие осуществлять удаленные инъекции произвольного JavaScript-кода.

Фишинговое письмо
В фишинговые письмах атакующие выдавали себя за сотрудников поддержки Outlook и пытались склонить потенциальных жертв к открытию вредоносных писем, после чего происходила эксплуатация 0-day уязвимости в Roundcube Webmail, и автоматически запускалась полезная нагрузка первого этапа. В итоге этот JavaScript-пейлоад, помогал злоумышленникам собирать и похищать электронные письма со взломанных серверов.


Код письма с тегом SVG в конце

«Отправив специально подготовленный email, злоумышленники получали возможность загрузить произвольный JavaScript-код в контексте окна браузера пользователя Roundcube. При этом не требовалось никакого “ручного” вмешательства, не считая просмотра сообщения в браузере, — пишут аналитики ESET. — Итоговая полезная нагрузка может составить список папок и писем в текущей учетной записи Roundcube и передать все почтовые сообщения на управляющий сервер».


 
Сверху Снизу