A partire dallo scorso 11 ottobre, alcuni enti governativi dei paesi dell’Unione Europea sarebbero stati attaccati dal gruppo hacker russo Winter Vivern, sfruttando una vulnerability zero-day di Roundcube Webmail. A segnalare l’attacco è stato il gruppo di ricercatori della società di sicurezza ESET. Secondo quest’ultimi, il gruppo di hacker (noto anche come TA473) ha utilizzato messaggi e-mail HTML contenenti documenti SVG predisposti per iniettare in remoto del codice JavaScript arbitrario. Dopo la segnalazione, il 16 ottobre il team di Roundcube ha rilasciato una patch di sicurezza che risolveva la vulnerabilità Stored Cross-Site Scripting (XSS), conosciuta con il codice CVE-2023-5631.
Roundcube Webmail: attacchi a enti governativi tramite false e-mail del team Outlook
Il gruppo hacker russo, spacciandosi per il team di Microsoft Outlook, cercava di indurre le potenziali vittime ad aprire e-mail dannose. In questo modo veniva attivato un payload di prima fase che sfruttava la vulnerabilità del server di posta di Roundcube. Il malware JavaScript rilasciato permetteva ai criminali di ottenere cartelle e-mail da server webmail compromessi, estrarre messaggi, ecc. Come ricorda ESET nel suo report, non era richiesto alcun intervento manuale da parte delle vittime. Per la diffusione del payload bastava soltanto la visualizzazione del messaggio dell’e-mail in un browser web.
Non è la prima volta che Winter Vivern prende di mira enti governativi. Già nell’aprile del 2021 aveva preso di mira enti di tutto il mondo, Italia compresa. Secondo ESET, tra agosto e settembre 2023, gli hacker avrebbero sfruttato la vulnerabilità Rouncube XSS (CVE-2020-35730). Questa era già sfruttata dagli hacker dell’intelligence militare russa APT28 per compromettere i server Roundcube Webmail del governo ucraino. Oltre a Roundcube, i cybercriminali sfruttano le vulnerabilità dei server di posta elettronica di Zimbra, sempre di proprietà di organizzazione governative. Questi avrebbero infatti sfruttato la vulnerabilità XSS Zimbra CVE-2022-27926 per attacchi contro i paesi NATO, rubando e-mail appartenenti a funzionari, governi e militari. Come ricorda infine ESET: “Il gruppo rappresenta una minaccia concreta per i governi europei a causa della sua persistenza, dell'esecuzione regolare di campagne di phishing e perché un numero significativo di applicazioni internet non vengono aggiornate regolarmente sebbene siano note per contenere vulnerabilità".