ESET araştırmacıları, XSS güvenlik açıkları aracılığıyla webmail sunucularını hedefleyen Rusya’ya hizalanmış bir casusluk işlemi olan RoundPress’i ortaya çıkardı. Arkasında büyük olasılıkla Rusya’ya hizalanmış Sednit (Fancy Bear veya APT28 olarak da bilinir) Siber Teslim Grubu, belirli e-posta hesaplarından gizli verileri çalmanın nihai hedefine sahip.
Operasyon RoundPress Uzlaşma Zinciri (Kaynak: ESET)
Hedefler
Hedeflerin çoğu Ukrayna’daki mevcut savaşla ilgilidir. Bulgaristan ve Romanya’daki Ukrayna hükümet kuruluşları ya da savunma şirketleri. Özellikle, bu savunma şirketlerinden bazıları Ukrayna’ya gönderilecek Sovyet dönemi silahları üretiyor. Diğer hedefler arasında Afrika, AB ve Güney Amerika hükümetleri bulunmaktadır.
“Geçen yıl, ek webmail yazılımını hedeflemek için kullanılan farklı XSS güvenlik açıklarını gözlemledik: Horde, Mdaemon ve Zimbra. Sednit de yuvarlak büpte (CVE-2023-43770) daha yeni bir güvenlik açığı kullanmaya başladı. Horde, Roundcube ve Zimbra zaten biliniyor ve yamalı ”diyor.
İstismar nasıl çalışır
Sednit, bu XSS istismarlarını e -posta ile gönderir. Bir tarayıcı penceresinde çalışan webmail istemci web sayfası bağlamında kötü amaçlı JavaScript kodunun yürütülmesine yol açarlar. Yalnızca hedefin hesabından erişilebilen veriler okunabilir ve açıklanabilir.
İstismarın çalışabilmesi için hedefin, savunmasız webmail portalında e -posta mesajını açmaya ikna edilmesi gerekir. Bu, e-postanın herhangi bir spam filtrelemesini atlaması gerektiği anlamına gelir ve konu satırının, hedefi e-posta mesajını okumaya ikna edecek kadar ikna etmesi gerektiği anlamına gelir-Ukrayna News Outlet Kiev Post veya Bulgarous News Portal News.bg gibi tanınmış haber medyasını kötüye kullanmak. Spearphishing olarak kullanılan manşetler arasında: “SBU, Kharkiv’de düşman askeri istihbaratında çalışan bir bankacı tutukladı” ve “Putin, Trump’ın ikili ilişkilerde Rus koşullarını kabul etmesini istiyor”.
Saldırganlar JavaScript yüklerini serbest bırakır. Bunlar kimlik bilgisi çalma yeteneğine sahiptir; adres defterinin, kişilerin ve giriş geçmişinin eklenmesi; ve e -posta mesajlarının eklenmesi. Spypress.Mdaemon, iki faktörlü kimlik doğrulama koruması için bir bypass kurabilir; İki faktörlü kimlik doğrulama sırrını püskürtür ve saldırganların posta kutusuna bir posta uygulamasından erişmesini sağlayan bir uygulama şifresi oluşturur.
“Son iki yılda, Roundcube ve Zimbra gibi webmail sunucuları, Sednit, Greencube ve Kış Vivern dahil olmak üzere çeşitli casusluk grubu için önemli bir hedef olmuştur. Çünkü birçok kuruluş webmail sunucularını güncel tutmaz ve voltajlar, e -posta gönderilerek, e -posta gönderen saldırganlar için çok uygun olduğu için, bu tür saldırganlar için çok uygun olduğu için”.
Hacks’in arkasında
APT28, Fancy Bear, Forest Blizzard veya Sofacy olarak da bilinen Sednit Grubu, en az 2004’ten beri faaliyet göstermektedir. ABD Adalet Bakanlığı, grubu 2016 ABD seçimlerinden hemen önce Demokratik Ulusal Komite (DNC) hack’inden sorumlu olanlardan biri olarak adlandırdı ve grubu GRU’ya bağladı. Grubun ayrıca küresel televizyon ağı TV5MONDE, Dünya Doping Anti Ajansı (WADA) e-posta sızıntısı ve diğer birçok olayın hacklenmesinin arkasında olduğu varsayılmaktadır.