Düşük profilli tehdit grubu Winter Vivern, Avrupa’daki hükümet kuruluşlarını ve bir düşünce kuruluşunu hedef alan, yalnızca kullanıcının bir mesajı görüntülemesini gerektiren kötü niyetli bir e-posta kampanyasıyla Roundcube Webmail sunucularındaki sıfır gün kusurundan yararlanıyor.
Bu ayın başlarında, ESET Araştırma’daki araştırmacılar, grubun, CVE-2023 olarak izlenen yeni keşfedilen bir siteler arası komut dosyası çalıştırma (XSS) hatasından yararlanmak için Roundcube kullanıcısının tarayıcı penceresi bağlamında rastgele bir JavaScript kodu yükleyen özel hazırlanmış bir e-posta mesajı gönderdiğini gözlemledi. -5631. Araştırmacılar, 25 Ekim’de yayınlanan bir blog yazısında, tek tıklamayla yapılan istismarın, mesajı bir Web tarayıcısında görüntülemek dışında kullanıcının herhangi bir manuel etkileşim gerektirmediğini bildirdi.
Roundcube, özellikle küçük ve orta ölçekli kuruluşlar arasında popüler olan, ücretsiz olarak kullanılabilen, açık kaynaklı bir web posta çözümüdür. Kusur, 1.4.15’ten önceki, 1.5.5’ten önceki 1.5.x ve 1.6.4’ten önceki 1.6.x sürümlerini etkiler ve “program/lib” davranışı nedeniyle hazırlanmış bir SVG belgesiyle bir HTML e-posta mesajı yoluyla saklanan XSS’ye izin verir. /Roundcube/rcube_washtml.php”, CVE listesine göre. Bu da uzaktaki bir saldırganın rastgele JavaScript kodu yüklemesine olanak tanır.
ESET Araştırma, güvenlik açığını 12 Ekim’de Roundcube ekibine bildirdi ve iki gün sonra 14 Ekim’de şirketten bir yanıt ve yama aldı. 16 Ekim’de Roundcube, 1.6.4, 1.5.5, ve kusuru gidermek için 1.4.15.
Uzun Vadeli Hedefleme
Winter Vivern’in faaliyetleri genellikle güvenlik araştırmacıları tarafından eksik rapor ediliyor ancak grup en az Aralık 2020’den beri aktif ve Rusya ve Beyaz Rusya’ya sempati göstererek bu ulusların çıkarlarına hizmet eden siber casusluk yürütüyor. Grup, hedeflerini tehlikeye atmak için genellikle kötü amaçlı belgeler, kimlik avı web siteleri ve özel bir PowerShell arka kapısı kullanıyor ve Belarus ile uyumlu gelişmiş bir MoustachedBouncer grubuyla bağlantılı olabilir.
Winter Vivern’ü yaklaşık bir yıldır yakından takip eden ESET’in gözlemlediği son etkinlik — ESET Araştırmacısı Mathieu Faou, bu durumun grubun tipik yöntemleriyle tutarlı olduğunu, ancak daha önce zaten kamuya açık olan kusurlardan yararlandıklarını belirtiyor.
Dark Reading’e “En az 2022’den beri Zimbra ve Roundcube’daki XSS açıklarından yararlanarak rastgele JavaScript kodları yüklediler ve e-postaları çaldılar” dedi. “Ancak bu güvenlik açıklarının çoğu biliniyordu ve bu nedenle yalnızca yama yapılmamış posta sunucularında çalışabiliyorlardı.”
Faou, grubun şu anda “sıfır gün güvenlik açıklarını yakması” ve yaygın olarak kullanılan web posta sunucularının güncellenmiş sürümlerine bile saldırması, gelecekteki faaliyetlerin habercisi olabilir, çünkü bu, Avrupa hükümet kuruluşlarına birincil hedefler olarak uzun vadeli bir ilgi gösterdiğini gösteriyor. diyor.
Kampanya Nasıl Çalışır?
En son kampanya, adresten gönderilen hedeflere kimlik avı e-postasıyla başlıyor [email protected] konu satırıyla “Outlook’unuzu kullanmaya başlayın.” Mesajın Microsoft Hesaplar Ekibi’nden geldiği iddia ediliyor ve yeterince masum görünerek kullanıcılara Outlook hesapları konusunda rehberlik etmeyi amaçlıyor.
Ancak yalnızca e-postanın görüntülenmesi, e-postanın HTML kaynak kodunun sonundaki base64 kodlu bir yük içeren bir SVG etiketi tarafından teşvik edilen bir süreci harekete geçirir. ESET’e göre veri yükünün kodunun çözülmesi, kurbanın tarayıcısında Roundcube oturumu bağlamında çalıştırılan bir JavaScript kodu üretiyor.
Araştırmacılar, JavaScript enjeksiyonu tamamen yamalı bir Roundcube örneğinde çalıştığında bu istismarın sıfır gün hatasına yönelik olduğunu fark etti. İstismar edilen XSS güvenlik açığının, kötü amaçlı SVG belgesini Roundcube kullanıcısı tarafından yorumlanan HTML sayfasına eklenmeden önce düzgün şekilde temizlemeyen sunucu tarafı “script rcube_washtml.php”yi etkilediğini buldular.
Saldırıdaki son JavaScript yükü, mevcut Roundcube hesabındaki klasörleri ve e-postaları listeleyebilir ve “https://recsecas” adresine HTTP istekleri göndererek e-posta mesajlarını Winter Vivern’in komuta ve kontrol sunucusuna sızdırabilir.[.]com/controlserver/saveMessage.”
Hemen Yama Yapın
Güvenlik açığı bulunan Roundcube örneklerinin kullanıcılarının, tehlikeyi önlemek için yamalı sürümlere güncelleme yapması isteniyor. Ancak Faou, gelecekte Winter Vivern tarafından keşfedilen ve daha sonra istismar edilen herhangi bir sıfır gün kusuru durumunda, bu savunmanın yeterince yeterli olmayacağını belirtiyor.
Benzer sıfır gün saldırıları durumunda savunmasız sistemleri koruyabilecek diğer uç nokta savunma uygulamalarının, JavaScript yüklerinin yüklenmesini ve e-postaların dışarı sızmasını otomatik olarak engelleyen teknolojiyi devreye sokmak olabileceğini tavsiye ediyor. “Bu nedenle, tüm makinelere bir uç nokta güvenlik çözümünün dağıtılması da önerilir.”