Hackers Manfaatkan Zero-Day di Perangkat Lunak Webmail Roundcube
Cyberthreat.id - Hacker yang dikenal sebagai Winter Vivern mengeksploitasi kelemahan zero-day di perangkat lunak email web Roundcube pada 11 Oktober 2023, untuk mengambil pesan email dari akun korban.
“Winter Vivern telah meningkatkan operasinya dengan menggunakan kerentanan zero-day di Roundcube,” kata peneliti keamanan ESET Matthieu Faou dalam laporan baru yang diterbitkan hari ini sebagaimana dipublikasi The Hacker News.
“Sebelumnya, mereka menggunakan kerentanan yang diketahui di Roundcube dan Zimbra, yang bukti konsepnya tersedia online."
Winter Vivern, juga dikenal sebagai TA473 dan UAC-0114, adalah kolektif musuh yang tujuannya selaras dengan tujuan Belarus dan Rusia.
Selama beberapa bulan terakhir, serangan ini dikaitkan dengan serangan terhadap Ukraina dan Polandia, serta entitas pemerintah di Eropa dan India.
Kelompok ini juga dinilai telah mengeksploitasi kelemahan Roundcube lainnya pada bulan Agustus dan September (CVE-2020-35730), menjadikannya kelompok negara-bangsa kedua setelah APT28 yang menargetkan perangkat lunak email web sumber terbuka.
Kerentanan keamanan baru yang dimaksud adalah CVE-2023-5631 (skor CVSS: 5.4), cacat skrip lintas situs yang tersimpan yang memungkinkan penyerang jarak jauh memuat kode JavaScript sewenang-wenang. Perbaikan dirilis pada 16 Oktober 2023.
Rantai serangan yang dipasang oleh kelompok tersebut dimulai dengan pesan phishing yang menggabungkan muatan berkode Base64 dalam kode sumber HTML yang, pada gilirannya, diterjemahkan menjadi injeksi JavaScript dari server jarak jauh dengan mempersenjatai kelemahan XSS.
“Singkatnya, dengan mengirimkan pesan email yang dibuat khusus, penyerang dapat memuat kode JavaScript sembarang dalam konteks jendela browser pengguna Roundcube,” jelas Faou.
"Tidak diperlukan interaksi manual selain melihat pesan di browser web."
JavaScript tahap kedua (checkupdate.js) adalah pemuat yang memfasilitasi eksekusi muatan JavaScript akhir yang memungkinkan pelaku ancaman mengekstrak pesan email ke server perintah dan kontrol (C2).
“Meskipun perangkat yang dimiliki kelompok ini sangat canggih, hal ini merupakan ancaman bagi pemerintah di Eropa karena kegigihannya, kampanye phishing yang sangat rutin dilakukan, dan karena sejumlah besar aplikasi yang terhubung ke internet tidak diperbarui secara berkala meskipun diketahui mengandung kerentanan," kata Faou.[]
