ESET, Rusya’nın Fancy Bear (Sednit) tarafından Webmail güvenlik açıkları ve Spypress kötü amaçlı yazılım yoluyla Ukrayna ile ilgili organizasyonları hedefleyen bir siber casusluk kampanyası olan Roundpress’i rapor ediyor.
ESET’teki siber güvenlik araştırmacıları, Rus destekli Sednit Grubu (AKA APT28, Fancy Bear) tarafından düzenlendiğini “orta güven” ile değerlendiren Roundpress kodlu sofistike bir siber casusluk kampanyası ortaya koydu. Bu operasyon, Ukrayna’da devam eden çatışmayla bağlantılı kuruluşları aktif olarak hedefliyor ve Gizli Verileri Roundcube gibi savunmasız webmail sunucularından sunmayı amaçlıyor.
ABD Adalet Bakanlığı tarafından 2016 Demokratik Ulusal Komite (DNC) hack’ine bağlanan ve Hackread.com tarafından TV5monde ve Wada’ya yapılan saldırılarda izlenen Sednit Grubu, Roundpress kampanyasında hedefli Spearphishing e -postaları kullanıyor.
Bu e-postalar, kurbanın tarayıcısına Spypress olarak adlandırılan kötü niyetli JavaScript kodu enjekte etmek için çeşitli webmail platformlarındaki siteler arası komut dosyası (XSS) güvenlik açıklarından yararlanır.
WebMail Systems’ta bilinen ve sıfır gün güvenlik açıklarından yararlanmak
ESET’in hackread.com ile paylaşılan blog yazısında, araştırmacılar son iki yılda, casusluk gruplarının, eski doğası ve uzak güvenlik açığı tetikleyicileri nedeniyle Roundcube ve Zimbra gibi webmail sunucularını hedeflemeyi kolaylaştıran e -posta hırsızlığı için hedef aldığını belirtti.
2023’te araştırmacılar Sednit’in Roundcube’de CVE-2020-35730’dan yararlandığını gözlemlediler. Ancak, 2024’te kampanya aşağıdakilerdeki güvenlik açıklarını hedeflemek için genişledi:
- Horde (eski bir XSS kusuru)
- Zimbra (CVE-2024-27443Zbug-3730 olarak da bilinir, 1 Mart 2024’te yamalı)
- Mdaemon (CVE-2024-111821 Kasım 2024’te araştırmacılar tarafından bildirilen bir sıfır gün, 14 Kasım 2024’te 24.5.1 sürümünde yamalı)
ESET, 29 Eylül 2023’te gönderilen belirli bir Spearphishing e -postasını kaydetti. katecohen1984@portugalmailpt Roundcube’de CVE – 2023-43770’den yararlanıyor. E -postalar, 11 Eylül 2024’te Ukrayna hedefine e -posta gibi kurbanları açmaya ikna etmek için haber içeriğini taklit etmek için genellikle haber içeriğini taklit etmektedir. kyivinfo24@ukrnet Kharkiv’de tutuklanan bir tutuklama ve 8 Kasım 2024’te Bulgar hedefine bir diğeri hakkında office@terembgcom Putin ve Trump ile ilgili.
Ukrayna ile ilgili varlıklara birincil odaklanma
ESET telemetri ve virustotal başvurular aracılığıyla tanımlandığı gibi 2024 yılında Roundpress Operasyonunun temel hedefleri, bazıları Ukrayna için Sovyet dönemi silahları üreten Bulgaristan ve Romanya’da ağırlıklı olarak Ukrayna hükümet kuruluşları ve savunma şirketleridir.
Araştırmacılar ayrıca Yunanistan, Kamerun, Ekvador, Sırbistan ve Kıbrıs (Çevre Araştırmalarında Akademik), Bulgaristan’daki Savunma Sektörü için bir telekomünikasyon firması ve Ukrusa’daki bir Hava Taşımacılığı Şirketi ve Ulaşım Devlet Şirketi’ndeki bir telekomünikasyon şirketinin hedeflenmesini gözlemlediler.
SpyPress Malware Varyants (Spypress.horde, Spypress.Mdaemon, Spypress.roundcube ve Spypress.zimbra) Gizli teknikleri paylaşır ve HTTP Post istekleri aracılığıyla C2 sunucularıyla iletişim kurar. Ancak, yetenekleri değişir.
Örneğin, Spypress.roundcube, gelen tüm e-postaları saldırgan kontrollü bir adrese iletmek için elek kuralları oluşturuldu, örneğin srezoska@skiffcom (Skiff gizlilik odaklı bir e-posta hizmetidir). Spypress.mdaemon, kalıcı erişim sağlayarak uygulama şifreleri oluşturma yeteneğini gösterdi.
Araştırmacılar, Sednit gibi gruplar tarafından webmail güvenlik açıklarının devam eden kullanılmasının, hassas bilgileri bu tür hedefli casuslardan korumak için zamanında yama ve güçlü güvenlik önlemlerinin öneminin altını çizdiği sonucuna varmışlardır.
J Stephen Kowski, Slashnext e -posta güvenliğinde Field CTO+ en son geliştirme hakkında yorum yaptı, belirtti, “Operasyon RoundPress gibi saldırılar, bilgisayar korsanlarının, özellikle popüler e -posta platformlarında zayıflıklar bulduklarında hedefleri ne kadar hızlı değiştirebileceğini gösterir.“
“Ücretli ticari e-posta sistemleri veya ücretsiz, kendi kendine barındırılan açık kaynak seçenekleri kullanıyor olun, hiçbir çözüm tamamen güvenli değildir-kendi kendine barındırılan sistemler genellikle düzenli güncellemelere ve uzman bakımına ihtiyaç duydukları için genellikle yanlış bir güvenlik duygusu verir,“ Uyardı.
“Önde kalmanın en iyi yolu, e-posta sistemlerinin her zaman güncellenmesini ve yamalanmasını sağlamak, çok faktörlü kimlik doğrulama gibi güçlü korumalar kullanarak ve kullanıcılara ulaşmadan önce kimlik avı e-postalarını tespit edebilen araçlara sahip olmaktır.“ Kowski tavsiye etti.