Winter Vivern, que se cree que es un hacker alineado con Bielorrusia, atacó a entidades gubernamentales europeas y a un grupo de expertos a partir del 11 de octubre, según un Ars Técnica informe el miércoles. Investigación ESET descubrió el hack que aprovechó una vulnerabilidad de día cero en Roundcube, un servidor de correo web con millones de usuarios, y permitió al grupo pro-ruso para exfiltrar correos electrónicos sensibles.
Roundcube parchó la vulnerabilidad XSS el 14 de octubre, dos días después de que ESET Research lo reportara. Winter Vivern envió código malicioso a usuarios disfrazados de un correo electrónico de aspecto inocente de [email protected]. Los usuarios simplemente vieron el mensaje en un navegador web , y el hacker podría acceder a todo sus correos electrónicos. Winter Vivern es un grupo de ciberespionaje que ha estado activo desde al menos 2020 dirigido a gobiernos de Europa y Asia Central.
“A pesar de la poca sofisticación del conjunto de herramientas del grupo, es una amenaza para los gobiernos de Europa debido a su persistencia, su funcionamiento muy regular de campañas de phishing”, dijo Matthieu Faou, un investigador de malware en ESET, en una publicación.
Roundcube lanzó una actualización para múltiples versiones de su software el 16 de octubre solucionando las vulnerabilidades de secuencias de comandos entre sitios. A pesar del parche y lo conocido vulnerabilidades en versiones anteriores, muchas aplicaciones no son actualizadas por los usuarios, dice Faou.
Roundcube no respondió de inmediato a la solicitud de comentarios de Gizmodo.
En marzo, el hacker alineado con Bielorrusia atacó a funcionarios estadounidenses electos que apoyaban a Ucrania, explotando servidores Zimbra sin parches. Esos ataques amenazaban con comprometer a los funcionarios gubernamentales. cuentas de correo electrónico.
“Este actor ha sido tenaz en sus ataques contra funcionarios estadounidenses y europeos, así como contra personal militar y diplomático en Europa”, Proofpoint Threat El investigador Michael Raggi contó Ars Técnica.
No está claro qué entidades gubernamentales europeas o qué think tank fueron el objetivo de este último ataque de Winter Vivern. Roundcube fuertemente recomienda a todos los usuarios actualizar a la última versión.
