Am 11. Oktober 2023 wurde beobachtet, wie der als Winter Vivern bekannte Bedrohungsakteur eine Zero-Day-Schwachstelle in der Roundcube Webmail-Software ausnutzte, um E-Mail-Nachrichten von Opferkonten abzugreifen.
Laut einem heute veröffentlichten Bericht des ESET-Sicherheitsforschers Matthieu Faou hat „Winter Vivern seine Operationen intensiviert, indem er eine Zero-Day-Schwachstelle in Roundcube ausgenutzt hat.“ Zuvor nutzte die Gruppe bekannte Schwachstellen in Roundcube und Zimbra, zu denen Online-Proofs-of-Concept verfügbar sind.
Winter Vivern, auch als TA473 und UAC-0114 bekannt, verfolgt Ziele, die denen von Belarus und Russland entsprechen. In den letzten Monaten wurden ihm Angriffe gegen die Ukraine und Polen sowie gegen Regierungsstellen in Europa und Indien zugeschrieben.
Bereits im August und September nutzte die Gruppe eine weitere Schwachstelle in Roundcube (CVE-2020-35730) aus und gehört damit, neben APT28, zu den staatlichen Gruppen, die die Open-Source-Webmail-Software ins Visier nehmen.
Die neu entdeckte Sicherheitslücke, CVE-2023-5631 (CVSS-Wert: 5.4), ermöglicht es einem entfernten Angreifer, beliebigen JavaScript-Code einzufügen. Ein Fix wurde am 16. Oktober 2023 veröffentlicht.
Die Angriffsmethode der Gruppe beginnt mit einer Phishing-E-Mail, die einen Base64-kodierten Schadcode enthält, der wiederum einen JavaScript-Code von einem externen Server aufruft. Faou erklärte: „Durch das Senden einer speziell präparierten E-Mail können Angreifer beliebigen JavaScript-Code im Kontext des Roundcube-Benutzerbrowsers ausführen. Eine manuelle Interaktion ist nicht erforderlich.“
Das nachgeladene JavaScript (checkupdate.js) ist ein Loader, der die Ausführung eines finalen JavaScript-Codes ermöglicht, wodurch der Bedrohungsakteur E-Mail-Nachrichten an einen Command-and-Control-Server weiterleiten kann.
Faou betonte die Gefahr der Gruppe für europäische Regierungen: „Trotz der geringen Raffinesse des Werkzeugsets der Gruppe stellt sie aufgrund ihrer Hartnäckigkeit, der regelmäßigen Durchführung von Phishing-Kampagnen und der Tatsache, dass eine bedeutende Anzahl von internetfähigen Anwendungen nicht regelmäßig aktualisiert wird, obwohl bekannt ist, dass sie Schwachstellen enthalten, eine Bedrohung dar.“