ESET 研究團隊已經密切追蹤 Winter Vivern 的網絡間諜行動超過一年。在我們的例行監測中,我們發現該組織從 2023 年 10 月 11 日開始利用 Roundcube Webmail 伺服器中的一個零日 XSS 漏洞進行攻擊。根據 ESET 的遙測數據,這是一個與 CVE-2020-35730 不同的漏洞,該攻擊活動針對歐洲政府實體和一個智庫的 Roundcube Webmail 伺服器。
Winter Vivern 是一個由 DomainTools 於 2021 年首次揭示的網絡間諜組織。根據推測,該組織至少從 2020 年開始活動,其目標是歐洲和中亞的政府機構。為了達成入侵目標,他們使用了惡意文件、釣魚網站和自定義的 PowerShell 後門,並自 2022 年開始,一直在針對屬於政府機構的 Zimbra 和 Roundcube 電子郵件伺服器進行攻擊。我們觀察到該組織在 2023 年 8 月和 9 月利用了 Roundcube 中的另一個 XSS 漏洞 CVE-2020-35730。請注意,Sednit(也稱為 APT28)也在利用這個舊的 Roundcube XSS 漏洞對同一目標進行攻擊。
利用分配給 CVE-2023-5631 的 XSS 漏洞,攻擊者可以通過發送特殊製作的電子郵件消息進行遙距攻擊。在這次 Winter Vivern 的攻擊活動中,電子郵件是從 team.managment@outlook[.]com 發送的,主題為 “Get started in your Outlook”,如圖 1 所示。
Winter Vivern 通過利用 Roundcube 的零日漏洞加強了其行動。此前,他們已經利用了 Roundcube 和 Zimbra 中已知的漏洞,而這些漏洞的概念證明已在網上公開。儘管該組織的工具集的複雜性較低,但由於他們持續存在並非常頻繁地進行釣魚活動,以及大量與互聯網相關的應用程式未定期更新,即使已知漏洞的存在,Winter Vivern 也對歐洲政府構成一定的威脅。
About Version 2
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。
