Ulus Devlet Hackerları Roundcube Web Posta Yazılımında Sıfır Günü İstismar Ediyor


25 Ekim 2023Haber odasıTehdit İstihbaratı / Güvenlik Açığı

Roundcube Web Posta Yazılımı

Winter Vivern olarak bilinen tehdit aktörünün, kurbanların hesaplarından e-posta mesajları toplamak için 11 Ekim 2023’te Roundcube web posta yazılımındaki sıfır gün kusurundan yararlandığı gözlemlendi.

ESET güvenlik araştırmacısı Matthieu Faou, bugün yayınlanan yeni bir raporda “Winter Vivern, Roundcube’deki sıfır gün güvenlik açığını kullanarak operasyonlarını hızlandırdı” dedi. Daha önce Roundcube ve Zimbra’daki bilinen güvenlik açıklarını kullanıyordu ve bunların kavram kanıtları çevrimiçi olarak mevcuttu.”

Siber güvenlik

TA473 ve UAC-0114 olarak da bilinen Winter Vivern, hedefleri Belarus ve Rusya’nınkilerle aynı doğrultuda olan düşmanca bir kolektiftir. Geçtiğimiz birkaç ay boyunca bu saldırının Ukrayna ve Polonya’nın yanı sıra Avrupa ve Hindistan’daki devlet kurumlarına yönelik saldırılarla ilişkilendirildiği belirtildi.

Grubun ayrıca Roundcube’ün başka bir kusurunu (CVE-2020-35730) istismar ettiği değerlendiriliyor ve bu da onu APT28’den sonra açık kaynaklı web posta yazılımını hedef alan ikinci ulus devlet grubu yapıyor.

Roundcube Web Posta Yazılımı

Söz konusu yeni güvenlik açığı CVE-2023-5631’dir (CVSS puanı: 5,4), uzaktaki bir saldırganın rastgele JavaScript kodu yüklemesine olanak tanıyan depolanmış bir siteler arası komut dosyası oluşturma hatasıdır. 14 Ekim 2023’te bir düzeltme yayınlandı.

Grup tarafından oluşturulan saldırı zincirleri, HTML kaynak kodunda Base64 kodlu bir veri içeren bir kimlik avı mesajıyla başlıyor ve bu mesaj, XSS kusurunu silahlandırarak uzak bir sunucudan gelen JavaScript enjeksiyonuna dönüşüyor.

Faou, “Özet olarak, saldırganlar özel hazırlanmış bir e-posta mesajı göndererek Roundcube kullanıcısının tarayıcı penceresi bağlamında isteğe bağlı JavaScript kodu yükleyebiliyor” dedi. “Mesajı bir web tarayıcısında görüntülemek dışında hiçbir manuel etkileşim gerekli değildir.”

Siber güvenlik

İkinci aşama JavaScript (checkupdate.js), tehdit aktörünün e-posta mesajlarını bir komut ve kontrol (C2) sunucusuna sızdırmasına olanak tanıyan son JavaScript yükünün yürütülmesini kolaylaştıran bir yükleyicidir.

“Grubun araç setinin düşük karmaşıklığına rağmen, ısrarı, çok düzenli bir kimlik avı kampanyası yürütmesi ve internete yönelik önemli sayıda uygulamanın, içerdiği bilinmesine rağmen düzenli olarak güncellenmemesi nedeniyle Avrupa’daki hükümetler için bir tehdit oluşturuyor. güvenlik açıkları” dedi Faou.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link