Пророссийские хакеры атакуют почтовые ящики с помощью приложения нулевого дня в веб-почте, которым пользуются миллионы – Ars Technica

Неустанная команда пророссийских хакеров использует уязвимость нулевого дня в широко используемом программном обеспечении веб-почты для атак, нацеленных на правительственные учреждения и аналитические центры в Европе, сообщили в среду исследователи из охранной компании ESET.

Ранее неизвестная уязвимость возникла из-за критической ошибки межсайтового сценария в серверном приложении Roundcube, используемом более 1000 сервисов веб-почты и миллионы их конечных пользователей. Члены пророссийско-белорусской хакерской группы отследили, как Winter Vivern использовала XSS-ошибка для внедрения JavaScript в серверное приложение Roundcube. Внедрение было вызвано простым просмотром вредоносного электронного письма, в результате чего сервер отправлял электронные письма от выбранных целей на сервер, контролируемый злоумышленником.

Ручное взаимодействие не требуется

«Подводя итог, отправив специально созданное сообщение электронной почты, злоумышленники могут загрузить произвольный код JavaScript в контексте окна браузера пользователя Roundcube», — исследователь ESET Матье Фау. написал. «Никакого ручного вмешательства, кроме просмотра сообщения в веб-браузере, не требуется».

Атаки начались 11 октября, а ESET обнаружила их днем ​​позже. В тот же день ESET сообщила разработчикам Roundcube об уязвимости нулевого дня, и они выпустили пластырь 14 октября. Уязвимость отслеживается как CVE-2023-5631 и влияет на версии Roundcube 1.6.x до 1.6.4, 1.5.x до 1.5.5 и 1.4.x до 1.4.15.

Winter Vivern работает как минимум с 2020 года и нацелена на правительства и аналитические центры, прежде всего в Европе и Центральной Азии. В марте группировку угрозы заметили нацелены на правительственных чиновников США который выразил поддержку Украине в ее стремлении отразить вторжение России. В ходе этих атак также были похищены электронные письма целей, но использовался отдельный, уже исправленный XSS в Zimbra Collaboration, программном пакете, который также используется для размещения порталов веб-почты.

«Этот субъект настойчиво преследовал американских и европейских чиновников, а также военный и дипломатический персонал в Европе», — заявил в марте исследователь угроз из охранной фирмы Proofpoint, раскрывая атаки, использующие уязвимость Zimbra. «С конца 2022 года [Winter Vivern] потратил достаточно времени на изучение веб-порталов электронной почты европейских правительственных учреждений и сканирование общедоступной инфраструктуры на наличие уязвимостей, чтобы в конечном итоге получить доступ к электронной почте тех, кто тесно связан с правительственными делами и российско-украинской войной».

Электронное письмо, которое Winter Vivern использовала в недавней кампании, пришло с адреса [email protected] и имело тему «Начните работу в Outlook».

Глубоко в исходном коде HTML был спрятан неверный элемент кода, известный как тег SVG. Он содержал текст в кодировке Base-64, который при декодировании преобразулся в JavaScript, содержащий команду для запуска в случае возникновения ошибки. Поскольку тег содержал преднамеренную ошибку, была вызвана вредоносная команда, и ошибка XSS гарантировала, что Roundcube выполнил полученный JavaScript.

Последняя полезная нагрузка JavaScript предписывала уязвимым серверам перечислять папки и электронные письма в учетной записи электронной почты цели и пересылать сообщения электронной почты на сервер, контролируемый злоумышленником, отправляя HTTP-запросы на https://recsecas.[.]com/controlserver/saveMessage.

Предыдущий успех Winter Vivern в использовании уже исправленной уязвимости Zimbra должен стать предупреждением. Любой, кто использует Roundcube в качестве администратора сервера или конечного пользователя, должен убедиться, что программное обеспечение использует исправленную версию.