Anche le autorità europee sono sotto attacco informatico, e questo per via di un servizio email non perfettamente coperto. È il caso di Roundcube, un servizio webmail, e di una vulnerabilità zero-day che sembra sia stata sfruttata dagli hacker di Winter Vivern per attaccare enti governativi e think tank europei.
Fortunatamente, il team di sviluppo di Roundcube ha rilasciato degli aggiornamenti di sicurezza.
Il zero-day di Roundcube agita l’Europa
Il gruppo di hacker russo Winter Vivern sembra abbia sfruttato la webmail zero-day Roundcube per attacchi contro enti governativi e think tank europei almeno dall’11 ottobre. Lo rileva Bleeping Computer.
I loro messaggi di phishing si spacciavano per il team di Outlook e cercavano di indurre le potenziali vittime ad aprire e-mail dannose. Questo ha attivato automaticamente un payload di prima fase che sfruttava la vulnerabilità del server di posta elettronica Roundcube.
Il payload JavaScript finale rilasciato negli attacchi ha aiutato gli autori degli attacchi a raccogliere e rubare e-mail da server webmail compromessi.
Secondo i risultati di ESET, il gruppo di spionaggio informatico (noto anche come TA473) ha utilizzato messaggi e-mail HTML contenenti documenti SVG accuratamente predisposti per iniettare in remoto codice JavaScript arbitrario.
Fortunatamente il team di Rounducbe ha messo in sicurezza il servizio. Queste patch di sicurezza sono state rilasciate cinque giorni dopo che la società slovacca di sicurezza informatica ha rilevato gli autori delle minacce russe che utilizzavano lo zero-day negli attacchi nel mondo reale.
L’ombra di Winter Vivern nei recenti attacchi europei
Avvistato per la prima volta nell’aprile 2021, Winter Vivern ha attirato l’attenzione per aver deliberatamente preso di mira enti governativi in tutto il mondo. Parliamo di nazioni come India, Italia, Lituania, Ucraina e Vaticano.
Sempre Winter Vivern prende di mira attivamente i server di posta elettronica Zimbra e Roundcube di proprietà di organizzazioni governative almeno dal 2022.
Secondo i ricercatori di SentinelLabs, gli obiettivi del gruppo sono strettamente in linea con gli interessi dei governi di Bielorussia e Russia. Come riporta Bleeping Computer, le cyberspie russe hanno anche sfruttato la vulnerabilità XSS Zimbra negli attacchi contro i paesi della NATO per rubare e-mail appartenenti a funzionari, governi e personale militare della NATO.
Il gruppo rappresenta una minaccia per i governi europei a causa della sua persistenza, dell’esecuzione molto regolare di campagne di phishing, come quella ai danni di WinRAR. E perché un numero significativo di applicazioni rivolte a Internet non vengono aggiornate regolarmente sebbene siano note per contenere vulnerabilità.
