Europese overheden aangevallen via zeroday in webmailclient Roundcube
Een groep cybercriminelen die zich richten op cyberspionage vallen actief Europese overheden aan met behulp van een XSS zeroday-kwetsbaarheid. De aanvallen zijn het werk van Winter Vivern, een groep die banden lijkt te hebben met Rusland en Belarus.
Dit melden onderzoekers van ESET. De kwetsbaarheid die de groep uitbuit is CVE-2023-5631 en zit in de opensource-webmailclient Roundcube. De kwetsbaarheid in op 12 oktober door ESET aan Roundcube gemeld, waarna de ontwikkelaars het lek met een update hebben gedicht.
Aanval start met phishingmail
Winter Vivern buit de kwetsbaarheid volgens ESET uit met behulp van een phishingmail, die het beveiligingsbedrijf overtuigend noemt. De e-mail lijkt afkomstig van het supportteam van Outlook en is verzonden uit naam van 'Team Outlook'. Het e-mailadres bevat een spelfout: team.managment@outlook.com'.
Indien een slachtoffer op deze link klikt, wordt een malafide payload ingeladen. Deze laadt op zijn beurt JavaScript-code, die informatie uit het Roundcube-account zoals mappen en e-mailberichten terugstuurt naar de Command & Control-server van de aanvallers.
'Relatief eenvoudige toolset'
ESET stelt dat de aanval die Winter Vivern gebruik maakt van een relatief eenvoudige toolset. De dreiging voor Europese overheden is echter groot doordat de groep zijn aanvalscampagne persistent en met grote regelmaat uitvoert. Tegelijkertijd verzuimen veel partijen hun met internet verbonden applicaties tijdig te updaten, iets waarop de aanvallers proberen in te spelen.
Meer informatie is hier beschikbaar.
Meer over ESET
Over Wouter Hoeffnagel
