Roundcube 零日漏洞被用来窃取欧洲政府邮件 媒体
冬季维文网络间谍集团利用零日漏洞窃取欧洲政府电子邮件
关键要点
冬季维文Winter Vivern网络间谍集团利用已修复的 Roundcube 零日漏洞,窃取欧洲政府和智库的电子邮件。该组织与俄罗斯和白俄罗斯有关,自 2020 年以来一直活跃,以针对欧洲和中亚政府的间谍活动而闻名。最新的 XSS 漏洞被发现于 10 月 11 日,并在三天后被修复,ESET 研究人员警告称此组织的攻击活动有增多的趋势。冬季维文也被称为 TA473这个与俄罗斯和白俄罗斯有关的网络间谍组织,自 2020 年以来活跃,并且有针对欧洲和中亚政府进行间谍活动的历史。该组织以利用 Zimbra 和 Roundcube 电子邮件服务器的漏洞而闻名,并在 10 月 11 日被 ESET 研究人员观察到其最新的攻击活动利用一个跨站点脚本XSS漏洞。该漏洞于三天后被 Roundcube 修复。
白鲸加速器下载在10月25日的一篇文章中,ESET 恶意软件研究员 Matthieu Faou 指出,冬季维文已经加大了其操作力度,实施了新的零日攻击。
“以前,它使用的是 Roundcube 和 Zimbra 的已知漏洞,并且这些漏洞的概念验证在网上可以找到,”他说。
“尽管这个团体的工具套件技术水平较低,但因其持久性、频繁的网络钓鱼活动,以及大量面对互联网的应用程序未得到定期更新而仍含有漏洞,仍对欧洲的政府构成威胁。”
攻击者向受害者发送恶意电子邮件
为了利用新的 Roundcube XSS 漏洞,ESET 发现现被追踪为 CVE20235631攻击者需要向受害者发送一封精心设计的电子邮件,使其能够在 Roundcube 用户的浏览器窗口中加载任意的 JavaScript 代码。

“除了在网络浏览器中查看消息外,不需要其他手动操作,”Faou 说。
和许多网络威胁团体一样,冬季维文选择伪装为微软的通信,通过构造攻击电子邮件来假装其真实性。
这些电子邮件使用地址 teammanagment@outlook[]com,主题为“在您的 Outlook 中开始使用”,并由“微软账户团队”签名。
此次攻击链中传递的最终 JavaScript 负载能够生成受害者 Roundcube 帐户中的文件夹和电子邮件列表,并将电子邮件消息导出到该威胁组织的指挥与控制服务器。
Roundcube 于 10 月 16 日发布了安全更新,修复了该漏洞。该漏洞影响 Roundcube 的 14x 版本1415 以前、15x 版本155 以前和 16x 版本164 之前。
为什么冬季维文青睐于 Roundcube
Faou 表示,冬季维文自至少去年以来就一直在针对属于政府实体的 Zimbra 和 Roundcube 电子邮件服务器。
ESET 观察到该组织最近还利用了 Roundcube 中另一个 XSS 漏洞CVE202035730,这个漏洞在三年前首次被发现,而他们在上个月依然在利用。
威胁团体找到机会利用 Zimbra 和 Roundcube 等服务中的漏洞,因为他们预计使用这些服务的组织 IT 预算会低于那些使用更高端解决方案的组织。因此,目标往往会有较低的安全防护措施,使得其系统被攻破的可能性更高。
Faou 提到,知名的俄罗斯国家行为者 APT28也称为 Fancy Bear、Sednit 和 BlueDelta也在利用三年前的 CVE202035730 漏洞,通常针对和冬季维文相同的目标。