Eine Cyber-Spionagekampagne, die auf Interessen Belaruss und Russlands ausgerichtet ist, hat mutmaßlich Schwachstellen für Cross-Site Scripting (XSS) in Roundcube-Webmail-Servern ausgenutzt, um mehr als 80 Organisationen ins Visier zu nehmen. Die betroffenen Einrichtungen befinden sich hauptsächlich in Georgien, Polen und der Ukraine. Dies geht aus Informationen von Recorded Future hervor, die die Angriffsserie einem Akteur namens Winter Vivern zuschreiben, der auch als TA473 und UAC0114 bekannt ist. Die Cybersecurity-Firma verfolgt die Hackergruppe unter dem Namen Threat Activity Group 70 (TAG-70).
Winter Viverns Ausnutzung von Sicherheitslücken in Roundcube und anderen Softwareprodukten wurde bereits im Oktober 2023 von ESET hervorgehoben, wodurch sie sich anderen russisch-verbundenen Hackergruppen wie APT28, APT29 und Sandworm anschließt, die bekannt dafür sind, E-Mail-Software zu attackieren.
Die Bedrohung, die seit mindestens Dezember 2020 aktiv ist, wurde auch mit dem Missbrauch einer mittlerweile gepatchten Schwachstelle in der Zimbra Collaboration E-Mail-Software im letzten Jahr in Verbindung gebracht, um im Juli 2023 Organisationen in Moldawien und Tunesien zu infiltrieren.
Die von Recorded Future entdeckte Kampagne fand Anfang Oktober 2023 statt und setzte sich bis Mitte des Monats fort, mit dem Ziel, Informationen über europäische politische und militärische Aktivitäten zu sammeln. Die Angriffe überschneiden sich mit weiteren Aktivitäten von TAG-70 gegen usbekische Regierungs-Mailserver, die im März 2023 entdeckt wurden.
„TAG-70 hat ein hohes Maß an Raffinesse in seinen Angriffsmethoden gezeigt“, sagte das Unternehmen. „Die Bedrohungsakteure nutzten Social-Engineering-Techniken und nutzten Cross-Site Scripting-Schwachstellen in Roundcube-Webmail-Servern, um unbefugten Zugriff auf gezielte Mailserver zu erlangen und die Verteidigungen von Regierungs- und Militärorganisationen zu umgehen.“
Die Angriffsketten beinhalten die Ausnutzung von Roundcube-Schwachstellen, um JavaScript-Payloads zu liefern, die darauf ausgelegt sind, Benutzeranmeldeinformationen an einen Command-and-Control (C2) Server zu exfiltrieren.
Recorded Future fand auch Beweise dafür, dass TAG-70 die iranischen Botschaften in Russland und den Niederlanden sowie die georgische Botschaft in Schweden ins Visier nahm.
„Die Zielsetzung der iranischen Botschaften in Russland und den Niederlanden deutet auf ein breiteres geopolitisches Interesse hin, Irans diplomatische Aktivitäten zu bewerten, insbesondere in Bezug auf seine Unterstützung für Russland in der Ukraine“, sagte es.
„Ähnlich spiegelt die Spionage gegen georgische Regierungseinrichtungen Interessen an der Überwachung von Georgiens Bestrebungen nach einem Beitritt zur Europäischen Union (EU) und zur NATO wider.“