Ciberseguridad 360 | Ataque Zero-Day a servidores de correo Roundcube

El grupo de hackers rusos Winter Vivern ha estado explotando el zero-day de Roundcube Webmail en ataques dirigidos a entidades gubernamentales y grupos de reflexi�n europeos desde al menos el 11 de octubre.

El equipo de desarrollo de Roundcube ha publicado actualizaciones de seguridad que corrigen la vulnerabilidad Stored Cross-Site Scripting (XSS) (CVE-2023-5631) de la que informaron investigadores de ESET el 16 de octubre.

Estos parches de seguridad se publicaron cinco d�as despu�s de que la empresa eslovaca de ciberseguridad detectara que los actores de amenazas rusos utilizaban el d�a cero en ataques reales.

Seg�n los hallazgos de ESET, el grupo de ciberespionaje (tambi�n conocido como TA473) utilizaba mensajes de correo electr�nico HTML que conten�an documentos SVG cuidadosamente dise�ados para inyectar de forma remota c�digo JavaScript arbitrario.

Sus mensajes de phishing se hac�an pasar por el equipo de Outlook e intentaban enga�ar a las v�ctimas potenciales para que abrieran correos electr�nicos maliciosos, activando autom�ticamente una carga �til de primera etapa que explotaba la vulnerabilidad del servidor de correo electr�nico Roundcube.

La carga �til final de JavaScript lanzada en los ataques ayud� a los actores maliciosos a recopilar y robar correos electr�nicos de servidores de correo web comprometidos.

"Al enviar un mensaje de correo electr�nico especialmente dise�ado, los atacantes pueden cargar c�digo JavaScript arbitrario en el contexto de la ventana del navegador del usuario de Roundcube. No se requiere ninguna intervenci�n manual aparte de ver el mensaje en un navegador web", dijo ESET.

"El payload JavaScript final [...] es capaz de listar carpetas y correos electr�nicos en la cuenta Roundcube actual, y de exfiltrar mensajes de correo electr�nico al servidor C&C".

Ejemplo de correo electr�nico de phishing Roundcube (ESET)

Detectado por primera vez en abril de 2021, Winter Vivern ha llamado la atenci�n por sus ataques deliberados contra entidades gubernamentales de todo el mundo, incluidos pa�ses como India, Italia, Lituania, Ucrania y el Vaticano.

Seg�n los investigadores de SentinelLabs, los objetivos del grupo coinciden estrechamente con los intereses de los gobiernos de Bielorrusia y Rusia.

Winter Vivern ha estado atacando activamente servidores de correo electr�nico Zimbra y Roundcube propiedad de organizaciones gubernamentales desde al menos 2022.

Estos ataques incluyeron la explotaci�n de la vulnerabilidad Roundcube XSS (CVE-2020-35730) entre agosto y septiembre de 2023, seg�n los datos de telemetr�a de ESET.

Cabe destacar que esta misma vulnerabilidad fue explotada por hackers rusos de inteligencia militar APT28 afiliados a la Direcci�n Principal de Inteligencia del Estado Mayor de Rusia (GRU) para comprometer servidores de correo electr�nico Roundcube pertenecientes al gobierno ucraniano.

Los ciberesp�as rusos tambi�n explotaron la vulnerabilidad XSS CVE-2022-27926 de Zimbra en ataques contra pa�ses de la OTAN para robar correos electr�nicos pertenecientes a funcionarios, gobiernos y personal militar de la OTAN.

"Winter Vivern ha intensificado sus operaciones utilizando una vulnerabilidad de d�a cero en Roundcube. Anteriormente, utilizaba vulnerabilidades conocidas en Roundcube y Zimbra, de las que existen pruebas de concepto en l�nea", afirma ESET.

"El grupo es una amenaza para los gobiernos en Europa debido a su persistencia, la ejecuci�n muy regular de campa�as de phishing, y porque un n�mero significativo de aplicaciones orientadas a Internet no se actualizan regularmente a pesar de que se sabe que contienen vulnerabilidades."

Fuente: bleepingcomputer