冬季维文网络间谍集团利用零日漏洞窃取欧洲政府电子邮件

关键要点

• 冬季维文（Winter Vivern）网络间谍集团利用已修复的 Roundcube 零日漏洞，窃取欧洲政府和智库的电子邮件。
• 该组织与俄罗斯和白俄罗斯有关，自 2020 年以来一直活跃，以针对欧洲和中亚政府的间谍活动而闻名。
• 最新的 XSS 漏洞被发现于 10 月 11 日，并在三天后被修复，ESET 研究人员警告称此组织的攻击活动有增多的趋势。

冬季维文（也被称为 TA473）这个与俄罗斯和白俄罗斯有关的网络间谍组织，自 2020 年以来活跃，并且有针对欧洲和中亚政府进行间谍活动的历史。该组织以利用
Zimbra 和 Roundcube 电子邮件服务器的漏洞而闻名，并在 10 月 11 日被 ESET研究人员观察到其最新的攻击活动——利用一个跨站点脚本（XSS）漏洞。该漏洞于三天后被 Roundcube 修复。

，ESET 恶意软件研究员
Matthieu Faou 指出，冬季维文已经加大了其操作力度，实施了新的零日攻击。

“以前，它使用的是 Roundcube 和 Zimbra 的已知漏洞，并且这些漏洞的概念验证在网上可以找到，”他说。

“尽管这个团体的工具套件技术水平较低，但因其持久性、频繁的网络钓鱼活动，以及大量面对互联网的应用程序未得到定期更新而仍含有漏洞，仍对欧洲的政府构成威胁。”

攻击者向受害者发送恶意电子邮件

为了利用新的 Roundcube XSS 漏洞，ESET 发现——现被追踪为
——攻击者需要向受害者发送一封精心设计的电子邮件，使其能够在
Roundcube 用户的浏览器窗口中加载任意的 JavaScript 代码。

“除了在网络浏览器中查看消息外，不需要其他手动操作，”Faou 说。

和许多网络威胁团体一样，冬季维文选择伪装为微软的通信，通过构造攻击电子邮件来假装其真实性。

这些电子邮件使用地址
team.managment@outlook[.]com，主题为“在您的
Outlook 中开始使用”，并由“微软账户团队”签名。

此次攻击链中传递的最终 JavaScript 负载能够生成受害者 Roundcube帐户中的文件夹和电子邮件列表，并将电子邮件消息导出到该威胁组织的指挥与控制服务器。

Roundcube 于 10 月 16 日发布了安全更新，修复了该漏洞。该漏洞影响 Roundcube 的 1.4.x 版本（1.4.15以前）、1.5.x 版本（1.5.5 以前）和 1.6.x 版本（1.6.4 之前）。

为什么冬季维文青睐于 Roundcube

Faou 表示，冬季维文自至少去年以来就一直在针对属于政府实体的 Zimbra 和 Roundcube 电子邮件服务器。

ESET 观察到该组织最近还利用了 Roundcube 中另一个 XSS漏洞（），这个漏洞在三年前首次被发现，而他们在上个月依然在利用。

威胁团体找到机会利用 Zimbra 和 Roundcube 等服务中的漏洞，因为他们预计使用这些服务的组织 IT预算会低于那些使用更高端解决方案的组织。因此，目标往往会有较低的安全防护措施，使得其系统被攻破的可能性更高。

Faou 提到，知名的俄罗斯国家行为者 APT28（也称为 Fancy Bear、Sednit 和 BlueDelta）也在利用三年前的
CVE-2020-35730 漏洞，通常针对和冬季维文相同的目标。