Roundcube-Lücke
APT-Gruppe Winter Vivern greift EU-Organisationen an
Foto: John Danow - shutterstock.com
Forscher des Sicherheitsanbieters Eset entdeckten kürzlich eine Cyberspionagekampagne der APT-Gruppe Winter Vivern, die auf Regierungsstellen und einen Think Tank in Europa zielt. Dazu griffen die Hacker auf die sogenannte Cross-Site-Scripting-Taktik (XSS) zurück. Sie nutzten eine Zero-Day-Schwachstelle in den eingesetzten Roundcube-Webmail-Servern aus, um anschließend vertrauliche E-Mails auszulesen. Roundcube ist eine Open-Source-Webmail-Software, die von vielen Regierungsstellen und Organisationen wie Forschungseinrichtungen verwendet wird.
Laut Forschungsbericht wird die XSS-Schwachstelle (CVE-2023-5631) auf dem Zielserver mit einer speziell entworfenen E-Mail angegriffen. "Auf den ersten Blick scheint die E-Mail nicht bösartig zu sein - aber bei der Untersuchung des HTML-Quellcodes fällt auf, dass am Ende ein Tag für SVG-Grafiken enthalten ist, der einen schadhaften Inhalt enthält", erklärt Eset-Forscher Matthieu Faou.
Schadcode wird aus der Ferne hochgeladen
Durch den Versand einer solchen Nachricht könnten Angreifer beliebigen JavaScript-Code im geöffneten Browserfenster des Roundcube-Benutzers laden, heißt es im Bericht. "Für die Ausführung des Schadcodes ist keine Interaktion des Anwenders notwendig. Die nachgeladene Schadsoftware kann E-Mails herausfiltern und an den Befehls- und Kontrollserver der Gruppe senden." Das Security-Unternehmen rät deshalb allen Nutzern, so schnell wie möglich die neue Version der Software zu installieren, um die Lücke zu stopfen.
Faou sieht in Winter Vivern allerdings weiterhin eine große Bedrohung für Regierungen in Europa. "Diese Gruppe agiert äußerst hartnäckig, um ans Ziel zu gelangen. Bei ihren Aktivitäten setzen sie auf Phishing-Kampagnen und nutzen Sicherheitslücken aus, da viele Anwendungen nicht regelmäßig aktualisiert werden."
Über Winter Vivern
Die Hackergruppe Winter Vivern hat sich auf Cyberspionage spezialisiert. Es wird vermutet, dass sie mindestens seit 2020 Regierungen in Europa und Zentralasien attackiert. Dabei setzten die Hacker vor allem bösartige Dokumente, Phishing-Websites und eine benutzerdefinierte PowerShell-Backdoor ein.
Die Roundcube-E-Mail-Server von Regierungsbehörden werden vermutlich seit 2022 ins Visier genommen. Eset geht davon aus, dass Winter Vivern mit der weißrussischen Hackerbande MoustachedBouncer in Verbindung steht. Letztere machte im August 2023 mit dem Ausspionieren von Botschaften in Belarus auf sich aufmerksam.