据外媒报道,一个通常支持俄罗斯和白俄罗斯的著名间谍组织被发现利用影响欧洲各国政府使用的流行网络邮件服务的零日漏洞。
安全公司 ESET 的研究人员表示,他们一直在追踪 Winter Vivern 发起的一项新活动,该组织是一个高级持续威胁 (APT) 组织,此前曾参与对波兰、乌克兰和印度政府的网络攻击。
最新的活动涉及利用一个先前未知的错误,影响免费开源的 Roundcube Webmail 软件。
ESET 表示,在 10 月 12 日发现该漏洞后,已向 Roundcube 通报了该漏洞(编号为CVE-2023-5631 )。并于 10 月 14 日发布了补丁。
ESET 研究员 Matthieu Faou 解释说,该活动针对的是属于政府实体和智库的 Roundcube 服务器,这些服务器均位于欧洲。
该漏洞之所以引人注目,是因为它不需要手动交互,只需在网络浏览器中查看恶意电子邮件即可。黑客可以利用该问题窃取电子邮件。
Faou 表示:“Winter Vivern 对欧洲各国政府构成威胁,因为它持续存在、持续不断地进行网络钓鱼活动,而且尽管已知存在漏洞,但大量面向互联网的应用程序并未定期更新。”
Faou 指出,这次攻击很新颖,因为相关电子邮件似乎并不恶意。但经过检查后,这些消息揭示了允许黑客访问电子邮件帐户信息的有效负载。
自 Winter Vivern 组织于 2020 年出现以来,Faou 和 ESET 一直在跟踪该组织。该组织专门针对欧洲和中亚的政府组织,在攻击中使用一系列恶意文档、网络钓鱼网站和其他工具。
8 月份, ESET 将该组织与另一个与白俄罗斯有联系的间谍组织MoustachedBouncer 联系起来。
该公司指出,Winter Vivern长期以来一直以 Zimbra 和 Roundcube 电子邮件服务器为目标,特别是自 2022 年以来使用这些服务的政府实体。ESET 指出,该组织此前曾针对 CVE-2020-35730,这也影响了 Roundcube。SentinelOne报告了 Winter Vivern在 3 月份发起的攻击,其中涉及网络钓鱼网站、恶意软件等。
其他总部位于俄罗斯的黑客组织过去也曾针对 Roundcube 进行过攻击。
臭名昭著的俄罗斯军事网络组织 APT28(也称为 Fancy Bear 和 BlueDelta)的黑客于 6 月被指控通过Roundcube 的 Webmail 服务中的三个不同漏洞针对乌克兰政府和一家从事军用航空的公司。
ESET 表示,它发现 APT28 在攻击中使用 CVE-2020-35730,有时利用该漏洞攻击与 Winter Vivern 相同的组织。
ESET 表示:“Winter Vivern 利用 Roundcube 中的零日漏洞加强了其行动。” “此前,它使用的是 Roundcube 和 Zimbra 中的已知漏洞,其概念证明可在线获取。”
发表评论
您还未登录,请先登录。
登录