Bilinmeyen tehdit aktörlerinin, kullanıcı kimlik bilgilerini çalmak üzere tasarlanmış bir kimlik avı saldırısının parçası olarak açık kaynaklı Roundcube web posta yazılımındaki artık yamalanmış bir güvenlik açığından yararlanmaya çalıştığı gözlemlendi.
Rus siber güvenlik şirketi Positive Technologies, geçen ay Bağımsız Devletler Topluluğu (BDT) ülkelerinden birinde bulunan, adı belirtilmeyen bir hükümet kuruluşuna bir e-posta gönderildiğini keşfettiğini söyledi. Ancak mesajın ilk olarak Haziran 2024’te gönderildiğini belirtmekte fayda var.
Bu hafta başlarında yayınlanan bir analizde, “E-posta, yalnızca ekli bir belge içeren, metinsiz bir mesaj gibi görünüyordu” dedi.
“Ancak e-posta istemcisi eki göstermedi. E-postanın gövdesi, JavaScript kodunu çözen ve çalıştıran eval(atob(…)) ifadesini içeren ayırt edici etiketler içeriyordu.”
Positive Technologies’e göre saldırı zinciri, SVG animasyon nitelikleri aracılığıyla depolanmış bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı olan CVE-2024-37383’ten (CVSS puanı: 6.1) yararlanma girişimidir ve bu güvenlik açığı bağlamında rastgele JavaScript yürütülmesine olanak tanır. kurbanın web tarayıcısı.
Başka bir deyişle, uzaktaki bir saldırgan, e-posta alıcısını özel hazırlanmış bir mesajı açması için kandırarak rastgele JavaScript kodu yükleyebilir ve hassas bilgilere erişebilir. Sorun, Mayıs 2024 itibarıyla 1.5.7 ve 1.6.7 sürümlerinde çözüldü.
Positive Technologies, “”href” değeri olarak JavaScript kodunu ekleyerek, bir Roundcube istemcisi kötü amaçlı bir e-postayı açtığında bunu Roundcube sayfasında çalıştırabiliriz.” dedi.
Bu durumda JavaScript verisi, boş Microsoft Word ekini (“Yol haritası.docx”) kaydeder ve ardından ManageSieve eklentisini kullanarak posta sunucusundan mesajları almaya devam eder. Ayrıca, mağdurları Roundcube kimlik bilgilerini vermeleri konusunda kandırmak amacıyla kullanıcıya görüntülenen HTML sayfasında bir oturum açma formu da görüntüler.
Son aşamada, yakalanan kullanıcı adı ve şifre bilgileri uzak bir sunucuya (“libcdn) aktarılır.[.]org”) Cloudflare’de barındırılıyor.
Roundcube’da keşfedilen önceki kusurlar APT28, Winter Vivern ve TAG-70 gibi birden fazla bilgisayar korsanlığı grubu tarafından kötüye kullanılmış olsa da şu anda bu istismar faaliyetinin arkasında kimin olduğu belli değil.
Şirket, “Roundcube web postası en yaygın kullanılan e-posta istemcisi olmasa da, devlet kurumları tarafından yaygın kullanımı nedeniyle bilgisayar korsanlarının hedefi olmaya devam ediyor” dedi. “Bu yazılıma yapılan saldırılar önemli hasarlara neden olabilir ve siber suçluların hassas bilgileri çalmasına olanak tanıyabilir.”