Bilgisayar korsanları Roundcube E-posta Sunucularını ele geçirdi

   Haziran 23, 2023  Posted in CyberSecurityNews


Bilgisayar korsanları, Ukraynalı kuruluşların Roundcube E-posta Sunucularını ele geçirdi

Rusya’nın GRU’suna bağlı bir tehdit grubu olan APT28 (namı diğer BlueDelta, Fancy Bear, Sednit ve Sofacy), hükümet kurumları da dahil olmak üzere 40’tan fazla Ukraynalı kuruluşun Roundcube e-posta sunucularını hackledi.

Siber casusluk grubu, insanları kandırarak zararlı e-postaları açmaları için Rusya-Ukrayna çatışmasıyla ilgili haberleri kullandı. Bu e-postalar, güvenli olmayan sunuculara girmek için Roundcube Webmail’deki güvenlik açıklarından yararlandı.

CSN

Rus askeri bilgisayar korsanları, kötü amaçlı bir komut dosyası yardımıyla, e-posta sunucularına yetkisiz erişim sağladıktan sonra, kişilerin gelen e-postalarını saldırganlar tarafından kontrol edilen bir e-posta adresine yönlendirir.

Ayrıca, bu komut dosyası aynı zamanda şu amaçlarla da kullanılır: –

  • İstihbarat bilgileri toplayın
  • Kurbanların Roundcube adres defterini çalmak
  • Oturum çerezlerini çal
  • Diğer Roundcube veritabanı verilerini çalın

Ukraynalı CERT-UA ve Recorded Future’s Insikt Group tarafından yapılan soruşturma, kampanyanın amacının Rusya’nın Ukrayna’yı işgali için askeri istihbarat toplamak ve çalmak olduğunu ortaya çıkardı.

Kasım 2021’den bu yana APT28 askeri bilgisayar korsanlarının bu siber casusluk saldırıları ve diğer yasa dışı faaliyetler için aynı altyapıyı kullandığına inanılıyor.

Ek olarak, bu GRU bağlantılı grup, Microsoft Outlook’ta daha önce bilinmeyen sıfır gün güvenlik açıklarından yararlanma iddialarıyla da karşı karşıya kaldı.

Ukraynalı CERT-UA tarafından yapılan soruşturmalar

Bilgisayar kullanıcısının posta kutusu içeriklerinde yapılan kapsamlı incelemede “Ukrayna’dan Haberler” başlıklı bir e-posta tespit edildi.

Aşağıda, bu e-postayla ilgili tüm önemli ayrıntılardan bahsetmiştik:-

  • 12.05.2023 tarihinde e-posta alındı
  • ukraine_news@meta’dan e-posta alındı[.]Yapmak
  • E-posta, bir “NV” (nv.ua) yayınından bir yem makalesi içeriyordu.
  • E-posta, Roundcube CVE-2020-35730’daki (XSS) güvenlik açığı için bir istismar içeriyordu.
  • E-posta, “q.js” ve “e.js” dosyalarını çalıştırmak için JavaScript kodu içeriyordu.

“q.js” dosyasında “CVE-2021-44026” (SQLi) olarak izlenen Roundcube güvenlik açığına yönelik bir istismar mevcuttur. Bu istismar, öncelikle Roundcube veritabanından bilgi çıkarmak için kullanılırken.

Ayrıca, “c.js” kodunun tanımlanması, CVE-2020-12641 güvenlik açığı için bir istismar taşıdığını ortaya çıkardı. Bu istismar, posta sunucusunda komutların yürütülmesine izin verir.

öneriler

Aşağıda, siber güvenlik analistleri tarafından sağlanan tüm önerilerden bahsetmiştik: –

  • Kuruluşlar, e-posta eklerinde HTML ve/veya JavaScript’i devre dışı bırakmalıdır.
  • Gelen e-posta trafiğini filtrelemek için kimlik sahtekarlığına karşı koruma ve kimlik doğrulama mekanizmalarını kullanın.
  • Güvenlik araçlarınızı ve sistemlerinizi en son yamalar ve güncellemelerle güncel tutun.
  • Bilinmeyen bir göndericiden gelen ekleri açmadığınızdan emin olun.

Uç Noktalarınızı Verimli Bir Şekilde Yönetin ve Güvenliğini SağlayınÜcretsiz indirin



Source link