放大(图片来源:Getty Images)
安全公司 ESET 的研究人员周三表示,一支由亲俄黑客组成的无情团队一直在利用广泛使用的网络邮件软件中的零日漏洞,对欧洲的政府实体和智囊团进行攻击。
该先前未知的漏洞是由 Roundcube 中的严重跨站点脚本错误引起的,Roundcube 是一种服务器应用程序,被1,000 多个网络邮件服务及其数百万最终用户使用。被追踪为 Winter Vivern 的亲俄罗斯和白俄罗斯黑客组织的成员使用XSS 漏洞将 JavaScript 注入 Roundcube 服务器应用程序中。只需查看恶意电子邮件即可触发注入,这导致服务器将电子邮件从选定的目标发送到威胁行为者控制的服务器。
无需手动交互
“总之,通过发送特制的电子邮件,攻击者能够在 Roundcube 用户的浏览器窗口上下文中加载任意 JavaScript 代码,”ESET 研究员 Matthieu Faou 写道。 “除了在网络浏览器中查看消息之外,不需要手动交互。”