Rusya merkezli tehdit grubu TAG-70’in, yakın zamanda açıklanan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı CVE-2023-5631 ile Roundcube web posta sunucularından yararlandığı keşfedildi.
Hedefleri arasında hükümet, askeri ve ulusal altyapıyla ilgili kuruluşlar yer alıyor. Bu tehdit aktörü Winter Vivern, TA473 ve UAC-0114 tehdit grubuyla örtüşüyor.
Ancak Roundcube hedefleme kampanyası Ekim 2023’ten beri yürütülüyor ve başta Gürcistan, Polonya ve Ukrayna olmak üzere 80’den fazla kuruluşa saldırılıyor.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Üstelik bu, Rusya bağlantılı tehdit gruplarının e-posta sunucularını hedef alan tek güncel kampanyasıdır.
.webp)
Ukrayna ile Rusya arasında devam eden savaşın bir parçası olarak, Rusya merkezli birkaç siber casusluk grubu, savaş çabaları ve planlaması, ilişkiler ve müzakereler, askeri ve ekonomik yardım ve diğer bilgiler hakkında istihbarat toplama aracı olarak Avrupa’daki hükümet kuruluşlarına saldırıyordu. bu savaşta mücadeleye yardımcı olabilir.
Rus Hackerlar Roundcube XSS Kusurundan Yararlandı
Cyber Security News ile paylaşılan raporlara göre TAG-70, daha önce Ukrayna Dışişleri Bakanlığı’na ait sahte bir web sitesi oluşturarak kullanıcıları “virüs bulaşmış bilgisayarları virüslere karşı tarama” adı altında kötü amaçlı bir yazılım indirmeye teşvik etmişti.
Mart 2023’te TAG-70’in, Rusya-Ukrayna savaşına dahil olan askeri, hükümet ve diplomatik Avrupalı kuruluşların e-postalarına erişim sağlamak için CVE-2022-27926 aracılığıyla Zimbra web posta portalının kullanılmasına atfedildi.
Bu tehdit aktörünün karmaşıklığı ve saldırı vektörleri göz önüne alındığında, bu operasyonların arkasında iyi finanse edilen ve yetenekli bir tehdit aktörünün olduğu anlaşılmaktadır.
.webp)
Bununla birlikte, Roundcube web posta sunucularına yönelik son XSS sıfır gün istismarı araştırıldı ve tehdit aktörlerinin, kötü amaçlı e-postayı açmak dışında kurbanın herhangi bir etkileşimi olmadan kurbanların posta kutusu içeriklerini listelemek ve dışarı çıkarmak için bu güvenlik açığını kullandıkları ortaya çıktı.
Tehdit Analizi
Şubat 2023’te, 198.50.170 C2 IP adresini içeren şüpheli etkinlik keşfedildi[.]72, TCP bağlantı noktası 7662 üzerinden.
Ancak bu IP daha sonra bugiplaysec alan adıyla ilişkilendirildi.[.]com, TAG-70’e aittir. Bu alan adının 443 numaralı bağlantı noktası üzerinden kurban IP adresiyle iletişim kurduğu tespit edildi.
Ayrıca Özbekistan Cumhuriyeti’nin Ukrayna Büyükelçiliği’ne bağlı bir IP adresi arasında da benzer bir aktivite tespit edildi.
Bu IP adresi başka bir C2 etki alanı ocsp-reloads ile iletişim kuruyordu[.]com 38.180.2’ye çözümleniyor[.]23. Her iki senaryoda da TAG-70, C2 alanlarını Tor aracılığıyla yönetiyordu.
.webp)
Bu son Roundcube web posta sunucusu istismar kampanyasından itibaren TAG-70, recsecas etki alanıyla bir altyapı yapılandırması kullanıyordu.[.]com ve C2 38.180.76.[.]31 Tor aracılığıyla yönetilen başka bir C2’ye tünel açıyor.
.webp)
Uzlaşma Göstergeleri
Alanlar:
- bugiplaysec[.]iletişim
- hitbitsx[.]iletişim
- ocsp-yeniden yüklemeler[.]iletişim
- azaltmak[.]iletişim
IP Adresleri:
- 38.180.2[.]23
- 38.180.3[.]57
- 38.180.76[.]31
- 86.105.18[.]113
- 176.97.66[.]57
- 176.97.76[.]118
- 176.97.76[.]129
- 198.50.170[.]72
Kötü Amaçlı Yazılım Örnekleri (SHA256):
- 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26
- ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.