ESET Researchは、Winter VivernグループがRoundcube Webmailサーバーのゼロデイのクロスサイトスクリプティング(XSS)脆弱性を悪用したという重大なサイバーセキュリティ上の脅威を発見しました。
本日公開されたアドバイザリで説明されている新たなキャンペーンは、欧州の政府機関およびシンクタンクのRoundcube Webmailサーバーを標的にしていました。ESET Researchは10月12日にこの脆弱性をRoundcubeチームへ迅速に報告し、チームは短期間でこれを認識して修正し、10月16日にセキュリティ更新をリリースしました。
Winter Vivernは、欧州および中央アジアの政府を標的にすることで知られるサイバー諜報グループで、少なくとも2020年から活動しています。標的に侵入するために、同グループは悪意のある文書、フィッシングWebサイト、カスタムのPowerShellバックドアなど、さまざまな手法を用います。ベラルーシ寄りのグループであるMoustachedBouncerと関連している疑いがあります。
この脅威について詳しく読む:ESET、ベラルーシの大使館を標的にするサイバー諜報グループを暴く
Winter VivernがRoundcubeサーバーを標的にしたのは今回が初めてではありません。2022年には、同グループはCVE-2020-35730を悪用しました。Sednit(APT28としても知られる)も同じ脆弱性を標的にしていました。
新たに悪用されたXSS脆弱性であるCVE-2023-5631は、特別に細工されたメールメッセージを送信することでリモートから悪用できます。攻撃者はrcube_washtml.phpのサーバー側スクリプトの欠陥を悪用したため、完全にパッチ適用済みのRoundcubeインスタンスでさえ脆弱でした。
このメールを送信することで、攻撃者は被害者のRoundcubeセッションに任意のJavaScriptコードを注入でき、最終的にメールメッセージへアクセスして持ち出すことが可能になります。ESETは、Winter VivernがRoundcubeのゼロデイ脆弱性を悪用できることは、サイバー諜報の領域における懸念すべき進展であると警告しました。
「Winter Vivernは、Roundcubeのゼロデイ脆弱性を利用することで作戦を強化しました。以前は、オンラインで概念実証(PoC)が入手可能なRoundcubeおよびZimbraの既知の脆弱性を利用していました」 と、アドバイザリには記されています。
「同グループのツールセットの高度さは低いにもかかわらず、その執拗さ、非常に定期的に実施されるフィッシングキャンペーン、そしてインターネットに公開されたアプリケーションの相当数が脆弱性を含むことが知られているにもかかわらず定期的に更新されていないことから、欧州の政府にとって脅威となっています。」
翻訳元: https://www.infosecurity-magazine.com/news/winter-vivern-zero-day-targets/
