I ricercatori di ESET, leader europeo nel mercato della cybersecurity, durante il regolare monitoraggio delle operazioni di cyberspionaggio di Winter Vivern, hanno scoperto che il gruppo ha recentemente iniziato a sfruttare una vulnerabilità XSS zero-day nel server Webmail Roundcube.
In un attacco XSS, script dannosi sono stati immessi in siti web ritenuti affidabili. Secondo i dati di telemetria di ESET, l'attacco ha preso di mira i server Webmail Roundcube appartenenti a enti governativi e a un think tank, tutti in Europa. ESET Research consiglia di aggiornare Roundcube Webmail all'ultima versione disponibile il prima possibile.
ESET ha scoperto la vulnerabilità il 12 ottobre e l'ha immediatamente segnalata agli sviluppatori di Roundcube, che l'hanno patchata e hanno rilasciato gli aggiornamenti di sicurezza poco dopo, il 14 ottobre. “Desideriamo ringraziare il team di Roundcube per la rapidità della risposta e per aver applicato la patch alla vulnerabilità in tempi così brevi”, afferma il ricercatore ESET Matthieu Faou, che ha scoperto la vulnerabilità e gli attacchi Winter Vivern. “Winter Vivern è una minaccia per i governi europei a causa della sua persistenza, dell'esecuzione massiccia di campagne di phishing e del fatto che un numero significativo di applicazioni rivolte a Internet non vengono aggiornate regolarmente nonostante sia noto che contengono vulnerabilità”.
Lo sfruttamento della vulnerabilità XSS CVE-2023-5631 può essere effettuato da remoto inviando un messaggio di posta elettronica appositamente creato. " Winter Vivern è un gruppo di cyberspionaggio che si ritiene sia attivo almeno dal 2020 e prende di mira entità governative dell'Europa e dell'Asia centrale. Per compromettere i suoi obiettivi, il gruppo utilizza documenti dannosi, siti web di phishing e una backdoor PowerShell personalizzata. Winter Vivern ha preso di mira i server e-mail Zimbra e Roundcube appartenenti a enti governativi almeno dal 2022.