Група проросійських та білоруських хакерів Winter Vivern використовує вразливість «нульового дня» у поширеному програмному забезпечені для вебпошти в атаках на урядові установи та аналітичні центри в Європі. Про це заявили дослідники компанії ESET, яка займається питаннями безпеки, пише Ars Technica.

Невідома досі вразливість має ідентифікатор CVE-2023-5631 та стала результатом критичної помилки міжсайтового скриптингу в Roundcube. Це – клієнт для роботи з електронною поштою та вебінтерфейсом, написаний на PHP із використанням JavaScript, CSS, HTML і технології AJAX. Вплив зафіксовано на Roundcube версій 1.6.x до 1.6.4, 1.5.x до 1.5.5 та 1.4.x до 1.4.15.

Члени Winter Vivern використали помилку для встановлення коду JavaScript у Roundcube. Для цього хакери надсилали електронного листа з адреси [email protected]. Перегляд «шкідливого» листа змушував сервер надсилати електронні листи від обраних цілей на сервер, контрольований зловмисниками.

За інформацією ESET, атаки розпочалися 11 жовтня, а вже 14 жовтня в Roundcube випустили патч.

Winter Vivern діє щонайменше з 2020 року та націлена на уряди та аналітичні центри, насамперед у Європі та Центральній Азії. У березні було помічено, що група націлилася на урядовців США, які висловлювали підтримку Україні в її прагненні відбити російське вторгнення.