Un actor de amenaza vinculado a Rusia se ha atribuido a una operación de ciber espionaje dirigida a servidores de correo web como RoundCube, Horde, Mdemon y Zimbra a través de vulnerabilidades de secuencias de comandos de sitios cruzados (XSS), incluido un día de cero en mdaemon, según nuevos hallazgos de ESET.
La actividad, que comenzó en 2023, ha sido conocido en código Operación RoundPress por la Compañía de Ciberseguridad Eslovaco. Se ha atribuido con la confianza media al categoría de piratería patrocinado por el estado ruso rastreado como Apt28, que incluso se conoce como BlueDelta, oso elegante, lucha contra Ursa, Blizzard Forest, Frozenlake, Iron Twilight, ITG05, Pewn Storm, Sednit, Sofacy y Ta422.
“El objetivo final de esta operación es robar datos confidenciales de cuentas de correo electrónico específicas”, dijo el investigador de ESET Matthieu Faou en un referencia compartido con Hacker News. “La mayoría de las víctimas son entidades gubernamentales y compañías de defensa en Europa del Este, aunque hemos observado que los gobiernos en África, Europa y América del Sur incluso están siendo atacados”.
Esta no es la primera vez que APT28 se ha vinculado a ataques que explotan fallas en el software Webmail. En junio de 2023, el futuro registrado detalló el despotismo del actor de amenaza de múltiples fallas en RoundCube (CVE-2020-12641, CVE-2020-35730 y CVE-2021-44026) para arrostrar a extremo el examen y la sumario de datos.
Desde entonces, otros actores de amenaza como Winter Vivern y UNC3707 (incluso conocido como Greencube) incluso han dirigido soluciones de correo electrónico, incluidas RoundCube, en varias campañas a lo espléndido de los primaveras. Los lazos de Operation RoundPress a Apt28 provienen de superposiciones en la dirección de correo electrónico utilizada para despachar los correos electrónicos y similitudes de phishing de bichero en la forma en que se configuraron ciertos servidores.
Se ha enemigo que la mayoría de los objetivos de la campaña en 2024 son entidades gubernamentales ucranianas o compañías de defensa en Bulgaria y Rumania, algunas de las cuales producen armas de la era soviética que se enviarán a Ucrania. Otros objetivos incluyen organizaciones gubernamentales, militares y académicas en Grecia, Camerún, Ecuador, Serbia y Chipre.
Los ataques implican la explotación de las vulnerabilidades de XSS en Horde, Mdaemon y Zimbra para ejecutar el código de JavaScript infundado en el contexto de la ventana Webmail. Vale la pena señalar que CVE-2023-43770, un error XSS en RoundCube, fue complemento por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. A su catálogo de vulnerabilidades explotadas (KEV) conocidas en febrero de 2024.
Mientras que los ataques dirigidos a Horde (un defecto antiguo no especificado fijado en Horde Webmail 1.0 lanzados en 2007), RoundCube (CVE-2023-43770) y Zimbra (CVE-2024-27443) defectos de seguridad ya conocidos y parcheados y parcheados, la vulnerabilidad de Mdaemon XS se ha utilizado por la amenaza como un día de amenaza. Asignado el identificador CVE CVE-2024-11182 (puntaje CVSS: 5.3), fue parcheado en la lectura 24.5.1 en noviembre pasado.
“Sednit envía estas exploits XSS por correo electrónico”, dijo Faou. “Las exploits conducen a la ejecución del código JavaScript ladino en el contexto de la página web del cliente webmail que se ejecuta en una ventana del navegador. Por lo tanto, solo los datos accesibles desde la cuenta de la víctima pueden leerse y exfiltrarse”.
Sin incautación, para que el exploit sea exitoso, el objetivo debe estar convencido de rasgar el mensaje de correo electrónico en el portal de correo web delicado, suponiendo que pueda evitar los filtros de spam y aterrizar en la bandeja de entrada del adjudicatario. El contenido del correo electrónico en sí es inocuo, ya que el código ladino que desencadena el defecto de XSS reside adentro del código HTML del cuerpo del mensaje de correo electrónico y, por lo tanto, no es visible para el adjudicatario.
La explotación exitosa conduce a la ejecución de una carga útil de JavaScript ofondeada llamamiento SpyPress que viene con la capacidad de robar credenciales de correo web y cosechar mensajes de correo electrónico e información de contacto del hendidura de la víctima. El malware, a pesar de la yerro de un mecanismo de persistencia, se vuelve a cargar cada vez que se abre el mensaje de correo electrónico atrapado en el booby.
“Encima, detectamos algunas cargas avíos SpyPress.RoundCube que tienen la capacidad de crear reglas de tamiz”, dijo Eset. “Spypress.roundCube crea una regla que enviará una copia de cada correo electrónico entrante a una dirección de correo electrónico controlada por el atacante. Las reglas de tamiz son una característica de RoundCube y, por lo tanto, la regla se ejecutará incluso si el script ladino ya no se ejecuta”.
La información recopilada se exfiltra luego a través de una solicitud de publicación HTTP a un servidor de comando y control (C2) codificado. Además se ha enemigo que las variantes seleccionadas del malware capturen el historial de inicio de sesión, los códigos de autenticación de dos factores (2FA) e incluso creen una contraseña de aplicación para que Mdaemon retenga el acercamiento al hendidura, incluso si la contraseña o el código 2FA se cambia.
“En los últimos dos primaveras, los servidores de correo web como RoundCube y Zimbra han sido un objetivo importante para varios grupos de espionaje como Sednit, Greencube e Winter Vivern”, dijo Faou. “Conveniente a que muchas organizaciones no mantienen actualizados a sus servidores de correo web y conveniente a que las vulnerabilidades se pueden activar de forma remota enviando un mensaje de correo electrónico, es muy conveniente que los atacantes apunten a dichos servidores para el robo de correo electrónico”.
