Специалисты ESET Research обнаружили кампании APT-группы Winter Vivern, использующие XSS-уязвимость нулевого дня в сервере Webmail Roundcube и направленные на правительственные организации и аналитический центр в Европе. Для компрометации целей группа использует вредоносные документы, фишинговые сайты и собственный бэкдор PowerShell. Эксплуатация XSS-уязвимости, получившей номер CVE-2023-5631, может быть осуществлена удаленно путем отправки специально созданного почтового сообщения.
Indicators of Compromise
IPv4
- 38.180.76.31
Domains
- recsecas.com
URLs
- https://recsecas.com/controlserver/checkupdate.js
SHA1
- 8bf7fcc70f6ce032217d9210ef30314ddd6b8135
- 97ed594ef2b5755f0549c6c5758377c0b87cfae0