ESET’ten yeni bulgulara göre, MDAemon’da o zamanki bir kurdu gün de dahil olmak üzere Roundcube, Horde, MDAemon ve Zimbra gibi webmail sunucularını hedefleyen bir siber casusluk operasyonuna atfedildi.
2023’te başlayan etkinliğe kodlandı Operasyon Roundpress Slovak Siber Güvenlik Şirketi tarafından. Bluedelta, fantezi ayı, Ursa, Orman Blizzard, Frozenlake, Demir Twilight, ITG05, Pawt Storm, Sednit, Sofacy ve Ta422 olarak adlandırılan APT28 olarak izlenen Rus devlet destekli hack grubuna orta güvenle ilişkilendirildi.
ESET araştırmacısı Matthieu Faou, Hacker News ile paylaşılan bir raporda, “Bu operasyonun nihai amacı, belirli e -posta hesaplarından gizli verileri çalmaktır.” Dedi. “Mağdurların çoğu, Afrika, Avrupa ve Güney Amerika’daki hükümetlerin de hedeflendiğini gözlemlememize rağmen, Doğu Avrupa’daki devlet kuruluşları ve savunma şirketleridir.”
Bu, APT28’in Webmail yazılımındaki kusurlardan yararlanan saldırılara ilk kez bağlı olmadığı. Haziran 2023’te, gelecekteki Tehdit Oyuncunun, keşif ve veri toplama yürütmek için yuvarlak kamüpte (CVE-2020-35730 ve CVE-2021-44026) birden fazla kusuru kötüye kullanmasını detaylandırdı.
O zamandan beri, Winter Vivern ve UNC3707 (diğer adıyla Greencube) gibi diğer tehdit aktörleri de yıllar boyunca çeşitli kampanyalarda yuvarlaklık da dahil olmak üzere e -posta çözümlerini hedef aldı. Operasyon RoundPress’in APT28 ile bağları, bazı sunucuların yapılandırılma biçiminde mızrak aktı e-postalarını ve benzerliklerini göndermek için kullanılan e-posta adresindeki çakışmalardan kaynaklanır.
2024 yılında kampanyanın hedeflerinin çoğunluğunun Bulgaristan ve Romanya’daki Ukrayna hükümet kuruluşları veya savunma şirketleri olduğu ve bazıları Ukrayna’ya gönderilecek Sovyet dönemi silahları ürettiği bulundu. Diğer hedefler arasında Yunanistan, Kamerun, Ekvador, Sırbistan ve Kıbrıs’ta hükümet, askeri ve akademik kuruluşlar yer alıyor.
Saldırılar, WebMail penceresi bağlamında keyfi JavaScript kodu yürütmesi için Horde, Mdaemon ve Zimbra’daki XSS güvenlik açıklarının kullanılmasını gerektiriyor. CVE-2023-43770’in ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından Şubat 2024’te bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklendiğini belirtmek gerekir.
Horde’yi hedefleyen saldırılar (2007’de yayınlanan Horde Webmail 1.0’da sabitlenmiş bir eski kusur), Roundcube (CVE-2023-43770) ve Zimbra (CVE-2024-27443) kaldırılmış güvenlik kusurları, zaten bilinen ve yansıtılmış bir şekilde hareket ederken kullanılmaya değer. CVE-2024-11182 (CVSS puanı: 5.3) CVE tanımlayıcısı atandı, geçen Kasım ayında 24.5.1 sürümünde yamalandı.
Faou, “Sednit bu XSS istismarlarını e -posta ile gönderiyor.” Dedi. “İstismarlar, tarayıcı penceresinde çalışan Webmail istemcisi web sayfası bağlamında kötü amaçlı JavaScript kodunun yürütülmesine yol açar. Bu nedenle, yalnızca mağdurun hesabından erişilebilen veriler okunabilir ve açıklanabilir.”
Bununla birlikte, istismarın başarılı olması için, hedefin, yazılımın spam filtrelerini atlayabildiğini ve kullanıcının gelen kutusuna inebildiği varsayılarak, savunmasız webmail portalında e -posta mesajını açmaya ikna edilmelidir. XSS kusurunu tetikleyen kötü amaçlı kod, e -posta mesajının gövdesinin HTML kodu içinde bulunduğu ve bu nedenle kullanıcı tarafından görülemediği için e -postanın içeriği zararsızdır.
Başarılı sömürü, Webmail kimlik bilgilerini çalma ve mağdurun posta kutusundan e -posta mesajlarını ve iletişim bilgilerini hasat etme yeteneği ile birlikte gelen Spypress adlı gizlenmiş bir JavaScript yükünün yürütülmesine yol açar. Kötü amaçlı yazılım, bir kalıcılık mekanizmasına sahip olmasına rağmen, bubi sıkışmış e-posta mesajı her açıldığında yeniden yüklenir.
ESET, “Buna ek olarak, elek kuralları oluşturma yeteneğine sahip birkaç Spypress.roundcube yükleri tespit ettik.” Dedi. “Spypress.roundcube, gelen her e-postanın bir kopyasını saldırgan kontrollü bir e-posta adresine gönderecek bir kural oluşturur. Elek kuralları yuvarlak kamube’nin bir özelliğidir ve bu nedenle kötü niyetli komut dosyası artık çalışmasa bile kural yürütülecektir.”
Toplanan bilgiler daha sonra sabit kodlu komut ve kontrol (C2) sunucusuna bir HTTP sonrası isteği ile ekstrelenir. Kötü amaçlı yazılımların seçkin varyantlarının, giriş geçmişini, iki faktörlü kimlik doğrulama (2FA) kodlarını yakaladığı ve hatta MDAemon’un şifre veya 2FA kodu değişse bile posta kutusuna erişimi sürdürmesi için bir uygulama şifresi oluşturduğu bulunmuştur.
Faou, “Son iki yılda, Roundcube ve Zimbra gibi webmail sunucuları, Sednit, Greencube ve Winter Vivern gibi çeşitli casusluk grubu için önemli bir hedef oldu.” Dedi. “Birçok kuruluş webmail sunucularını güncel tutmadığından ve güvenlik açıkları bir e -posta mesajı göndererek uzaktan tetiklenebileceğinden, saldırganların bu tür sunucuları e -posta hırsızlığı için hedeflemesi çok uygundur.”