Un actor de amenaza vinculado a Rusia se ha atribuido a una operación de ciber espionaje dirigida a servidores de correo web como RoundCube, Horde, Mdemon y Zimbra a través de vulnerabilidades de secuencias de comandos de sitios cruzados (XSS), incluido un día de cero en mdaemon, según nuevos hallazgos de ESET.
La actividad, que comenzó en 2023, ha sido notorio en código Operación RoundPress por la Compañía de Ciberseguridad Eslovaco. Se ha atribuido con la confianza media al orden de piratería patrocinado por el estado ruso rastreado como Apt28, que asimismo se conoce como BlueDelta, oso elegante, lucha contra Ursa, Blizzard Forest, Frozenlake, Iron Twilight, ITG05, Pewn Storm, Sednit, Sofacy y Ta422.
«El objetivo final de esta operación es robar datos confidenciales de cuentas de correo electrónico específicas», dijo el investigador de ESET Matthieu Faou en un noticia compartido con Hacker News. «La mayoría de las víctimas son entidades gubernamentales y compañías de defensa en Europa del Este, aunque hemos observado que los gobiernos en África, Europa y América del Sur asimismo están siendo atacados».
Esta no es la primera vez que APT28 se ha vinculado a ataques que explotan fallas en el software Webmail. En junio de 2023, el futuro registrado detalló el despotismo del actor de amenaza de múltiples fallas en RoundCube (CVE-2020-12641, CVE-2020-35730 y CVE-2021-44026) para resistir a término el gratitud y la compendio de datos.
Desde entonces, otros actores de amenaza como Winter Vivern y UNC3707 (asimismo conocido como Greencube) asimismo han dirigido soluciones de correo electrónico, incluidas RoundCube, en varias campañas a lo abundante de los abriles. Los lazos de Operation RoundPress a Apt28 provienen de superposiciones en la dirección de correo electrónico utilizada para expedir los correos electrónicos y similitudes de phishing de aguijada en la forma en que se configuraron ciertos servidores.
Se ha enemigo que la mayoría de los objetivos de la campaña en 2024 son entidades gubernamentales ucranianas o compañías de defensa en Bulgaria y Rumania, algunas de las cuales producen armas de la era soviética que se enviarán a Ucrania. Otros objetivos incluyen organizaciones gubernamentales, militares y académicas en Grecia, Camerún, Ecuador, Serbia y Chipre.
Los ataques implican la explotación de las vulnerabilidades de XSS en Horde, Mdaemon y Zimbra para ejecutar el código de JavaScript infundado en el contexto de la ventana Webmail. Vale la pena señalar que CVE-2023-43770, un error XSS en RoundCube, fue auxiliar por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. A su catálogo de vulnerabilidades explotadas (KEV) conocidas en febrero de 2024.
Mientras que los ataques dirigidos a Horde (un defecto antiguo no especificado fijado en Horde Webmail 1.0 lanzados en 2007), RoundCube (CVE-2023-43770) y Zimbra (CVE-2024-27443) defectos de seguridad ya conocidos y parcheados y parcheados, la vulnerabilidad de Mdaemon XS se ha utilizado por la amenaza como un día de amenaza. Asignado el identificador CVE CVE-2024-11182 (puntaje CVSS: 5.3), fue parcheado en la interpretación 24.5.1 en noviembre pasado.
«Sednit envía estas exploits XSS por correo electrónico», dijo Faou. «Las exploits conducen a la ejecución del código JavaScript sagaz en el contexto de la página web del cliente webmail que se ejecuta en una ventana del navegador. Por lo tanto, solo los datos accesibles desde la cuenta de la víctima pueden leerse y exfiltrarse».
Sin retención, para que el exploit sea exitoso, el objetivo debe estar convencido de desobstruir el mensaje de correo electrónico en el portal de correo web relajado, suponiendo que pueda evitar los filtros de spam y aterrizar en la bandeja de entrada del heredero. El contenido del correo electrónico en sí es inocuo, ya que el código sagaz que desencadena el defecto de XSS reside en el interior del código HTML del cuerpo del mensaje de correo electrónico y, por lo tanto, no es visible para el heredero.
La explotación exitosa conduce a la ejecución de una carga útil de JavaScript ofondeada señal SpyPress que viene con la capacidad de robar credenciales de correo web y cosechar mensajes de correo electrónico e información de contacto del compartimiento de la víctima. El malware, a pesar de la errata de un mecanismo de persistencia, se vuelve a cargar cada vez que se abre el mensaje de correo electrónico atrapado en el booby.
«Por otra parte, detectamos algunas cargas avíos SpyPress.RoundCube que tienen la capacidad de crear reglas de tamiz», dijo Eset. «Spypress.roundCube crea una regla que enviará una copia de cada correo electrónico entrante a una dirección de correo electrónico controlada por el atacante. Las reglas de tamiz son una característica de RoundCube y, por lo tanto, la regla se ejecutará incluso si el script sagaz ya no se ejecuta».
La información recopilada se exfiltra después a través de una solicitud de publicación HTTP a un servidor de comando y control (C2) codificado. Además se ha enemigo que las variantes seleccionadas del malware capturen el historial de inicio de sesión, los códigos de autenticación de dos factores (2FA) e incluso creen una contraseña de aplicación para que Mdaemon retenga el comunicación al compartimiento, incluso si la contraseña o el código 2FA se cambia.
«En los últimos dos abriles, los servidores de correo web como RoundCube y Zimbra han sido un objetivo importante para varios grupos de espionaje como Sednit, Greencube e Winter Vivern», dijo Faou. «Correcto a que muchas organizaciones no mantienen actualizados a sus servidores de correo web y conveniente a que las vulnerabilidades se pueden activar de forma remota enviando un mensaje de correo electrónico, es muy conveniente que los atacantes apunten a dichos servidores para el robo de correo electrónico».
