ESET Research发现了影响欧洲政府和智库的新的有针对性的活动。这个新的0-Day漏洞被Winter Vivern网络间谍组织积极利用，随后基于Web的IMAP电子邮件客户端Roundcube发现了该漏洞，并根据ESET的报告进行了修补。

俄罗斯网络间谍组织Winter Vivern（又名TA473和UAC-0114）以持续攻击欧洲和中亚政府而闻名，再次成为头条新闻。斯洛伐克网络安全公司ESET最近透露，该组织利用了Roundcube Webmail服务器中的0day（零日）跨站脚本(XSS)漏洞，这表明他们的策略令人震惊地升级。

ESET研究人员密切监视Winter Vivern的活动一年多，于2023年10月11日发现了这个新漏洞的利用。这个XSS漏洞（编号为CVE-2023-5631）允许攻击者远程破坏Roundcube Webmail服务器，一个流行的电子邮件平台。

值得注意的是，此漏洞与CVE-2020-35730不同，后者是同一组织之前利用的缺陷，如ESET研究中所述。

该活动由Winter Vivern策划，重点针对属于政府实体和智库的Roundcube Webmail服务器，这些服务器均位于欧洲。这符合该组织针对欧洲和中亚政府机构和组织的主要目标。

Winter Vivern因采用各种策略渗透目标而臭名昭著，包括使用恶意文档、网络钓鱼网站和自定义PowerShell后门。虽然可信度较低，但ESET研究人员认为Winter Vivern和MoustachedBouncer（一个与白俄罗斯结盟的组织）之间存在潜在联系。

据报道，至少自2022年起，Winter Vivern就以政府实体拥有的Zimbra和Roundcube电子邮件服务器为目标。此外，该组织于2023年8月和9月利用了Roundcube中的另一个XSS漏洞CVE-2020-35730。

值得一提的是，Winter Vivern并不是唯一利用Roundcube漏洞的威胁者。Sednit（也称为APT28）被发现在Roundcube中使用相同的XSS漏洞，偶尔针对相同的受害者。

根据ESET的博客文章，可以通过发送特制的电子邮件来远程利用此XSS漏洞。在此特定活动中，电子邮件是从地址team.managment@outlookcom发送的，主题行为“开始使用 Outlook”。

乍一看，这封恶意电子邮件看起来很普通，但在检查HTML源代码后，发现了一个隐藏的SVG标签，其中包含base64编码的有效负载。有效负载隐藏在SVG中图像标签的onerror属性内。解码后，该有效负载导致JavaScript代码在受害者的浏览器中执行。

令人惊讶的是，JavaScript注入甚至在完全修补的Roundcube实例上也有效。该漏洞可追溯到服务器端脚本rcube_washtml.php，该脚本在将恶意SVG文档合并到用户解释的HTML页面之前没有充分净化该文档。

ESET研究人员向Roundcube报告了该问题，并于2023年10月14日及时修复了该漏洞。受影响的Roundcube版本包括1.6.4之前的1.6.x、1.5.5之前的1.5.x和1.4.15之前的1.4.x。

Winter Vivern向0day漏洞的转变清楚地表明了他们渗透高价值目标的决心。尽管该组织的工具集相对简单，但它们仍然对欧洲政府构成重大威胁。他们的成功可归因于持续的网络钓鱼活动以及目标组织使用的过时且易受攻击的应用程序的普遍存在。

针对ESET的发现，Roundcube团队迅速采取行动解决了该漏洞。披露时间表显示，该漏洞于10月12日被报告，两天后就发布了必要的补丁，确保了Roundcube Webmail服务器的安全。

ESET Research对Roundcube开发人员在解决问题方面的快速响应和协作表示赞赏。组织和政府实体必须保持其软件最新，以降低未来发生此类攻击的风险。