俄罗斯黑客利用 Roundcube 缺陷（CVE-2023-5631）攻击欧洲政府

据网络安全公司 Recorded Future 的报告，俄罗斯网络间谍黑客组织被发现利用易受攻击的 Roundcube 网络邮件服务器漏洞对80多个欧洲政府、军事和关键基础设施实体进行攻击。

该网络间谍组织被追踪为 Winter Vivern、TA473、TAG-70 和 UAC-0114，至少自 2020 年 12 月以来一直活跃，目标是欧洲和中亚各国政府，符合白俄罗斯和俄罗斯的国家利益。

2023 年 10 月， Winter Vivern在针对欧洲政府实体和智囊团的攻击中被发现使用针对 Roundcube 网络邮件服务器中的0day 跨站脚本 (XSS) 漏洞（CVE-2023-5631）。

Recorded Future在一份新报告(https://go.recordedfuture.com/hubfs/reports/cta-2024-0217.pdf) 中指出，2023 年 10 月，攻击者利用易受攻击的 Roundcube 服务器对至少 80 个组织发起攻击，这些组织主要位于格鲁吉亚、波兰和乌克兰。袭击还袭击了伊朗驻莫斯科和荷兰大使馆以及格鲁吉亚驻瑞典大使馆。

“TAG70 主要针对政府和军事网络邮件服务器；然而，该组织还针对交通和教育部门以及化学和生物研究组织。”Recorded Future 说。

作为观察到的攻击的一部分，威胁行为者依靠社会工程并利用 XSS 缺陷来访问目标邮件服务器并收集有关政治和军事活动的情报，可能“获得战略优势或破坏欧洲安全和联盟”。

Recorded Future 指出，在乌克兰战争的背景下，电子邮件服务器的泄露不仅可能导致有关乌克兰战争努力和规划的敏感信息曝光，还可能导致通信渠道被操纵。

该网络安全公司根据之前活动中观察到的基础设施和工件（HTTP 横幅）的重用，以及与之前识别的 JavaScript 恶意软件的代码相似性，将这些攻击归因于 Winter Vivern。

Recorded Future 总结道：“在乌克兰冲突仍在继续、与欧盟和北约关系紧张的情况下，白俄罗斯和俄罗斯结盟的网络间谍组织几乎肯定会继续（甚至扩大）针对包括 Roundcube 在内的网络邮件软件平台。”

完整技术报告：https://go.recordedfuture.com/hubfs/reports/cta-2024-0217.pdf

参考链接：https://www.securityweek.com/russian-cyberspies-exploit-roundcube-flaws-against-european-governments/