L’acteur malveillant connu sous le nom de Winter Vivern a été observé en train d’exploiter une faille zero-day dans le logiciel de messagerie Web Roundcube le 11 octobre 2023, pour récolter des e-mails sur les comptes des victimes.
“Winter Vivern a intensifié ses opérations en utilisant une vulnérabilité zero-day dans Roundcube”, a déclaré Matthieu Faou, chercheur en sécurité chez ESET, dans un nouveau rapport publié aujourd’hui. Auparavant, il utilisait des vulnérabilités connues dans Roundcube et Zimbra, pour lesquelles des preuves de concept sont disponibles en ligne. »
Winter Vivern, également connu sous les noms de TA473 et UAC-0114, est un collectif antagoniste dont les objectifs s’alignent sur ceux de la Biélorussie et de la Russie. Au cours des derniers mois, cela a été attribué à des attaques contre l’Ukraine et la Pologne, ainsi que contre des entités gouvernementales en Europe et en Inde.
Le groupe aurait également exploité précédemment une autre faille Roundcube (CVE-2020-35730), ce qui en fait le deuxième groupe d’États-nations après APT28 à cibler le logiciel de messagerie Web open source.
La nouvelle vulnérabilité de sécurité en question est CVE-2023-5631 (score CVSS : 5,4), une faille de script intersite stockée qui pourrait permettre à un attaquant distant de charger du code JavaScript arbitraire. Un correctif a été publié le 14 octobre 2023.
Les chaînes d’attaque montées par le groupe commencent par un message de phishing qui intègre une charge utile codée en Base64 dans le code source HTML qui, à son tour, décode en une injection JavaScript à partir d’un serveur distant en militarisant la faille XSS.
“En résumé, en envoyant un message électronique spécialement conçu, les attaquants sont capables de charger du code JavaScript arbitraire dans le contexte de la fenêtre du navigateur de l’utilisateur de Roundcube”, a expliqué Faou. “Aucune interaction manuelle autre que l’affichage du message dans un navigateur Web n’est requise.”
Le JavaScript de deuxième étape (checkupdate.js) est un chargeur qui facilite l’exécution d’une charge utile JavaScript finale qui permet à l’acteur malveillant d’exfiltrer les e-mails vers un serveur de commande et de contrôle (C2).
“Malgré la faible sophistication de l’ensemble d’outils du groupe, il constitue une menace pour les gouvernements européens en raison de sa persistance, de ses campagnes de phishing très régulières et du fait qu’un nombre important d’applications accessibles sur Internet ne sont pas régulièrement mises à jour, bien qu’elles soient connues pour contenir vulnérabilités”, a déclaré Faou.
