Državno sponzorisana ruska grupa APT28 iskorišćava XSS ranjivosti na serverima elektronske pošte u široko rasprostranjenoj kampanji usmjerenoj na vladine i odbrambene subjekte, saopštava ESET.
Grupa, poznata i pod imenima Fancy Bear, Forest Blizzard, Sednit i Sofacy, a povezana sa Glavnom upravom za obavještajne poslove Generalštaba Rusije (GRU), aktivna je bar od 2004. godine, ciljajući energetski sektor, vlade, vojsku i medijske kuće u SAD-u i Evropi.
Prije dvije sedmice, Francuska je optužila APT28 za kompromitovanje desetak vladinih organizacija i drugih francuskih subjekata. Jedan od napada, usmjeren na TV5Monde televizijsku stanicu, desio se prije deset godina.
U četvrtak je ESET podijelio detalje o talasu napada APT28 usmjerenih na organizacije u Evropi, Africi i Južnoj Americi, koji su uključivali iskorišćavanje ranjivih servera Roundcube, Horde, MDaemon i Zimbra od septembra 2023.
U okviru kampanje nazvane Operacija RoundPress, ruski hakeri su ubacivali maliciozni JavaScript kod na stranice webmaila žrtava, sa ciljem krađe pristupnih podataka i izvlačenja kontakata i poruka.
U septembru 2023, APT je ciljao XSS ranjivost u Roundcube-u, označenu kao CVE-2020-35730, kako bi ubacivao proizvoljan JavaScript kod na stranicu webmaila. Ova ranjivost je u junu 2023. dodata u CISA-in katalog poznatih iskorišćavanih ranjivosti (KEV).
U 2024, Operacija RoundPress proširena je na servere Horde, MDaemon i Zimbra, uz dodatak još jedne ranjivosti Roundcube-a, CVE-2023-43770, koja je u februaru 2024. uvrštena u KEV katalog. MDaemon propust, sada zakrpljen i označen kao CVE-2024-11182, iskorišćavan je kao zero-day.
Primijećeno je da grupa šalje XSS eksploate putem emaila, kako bi izvršila JavaScript kod u browseru žrtve, u kontekstu stranice webmaila, što znači da može pristupiti samo podacima sa naloga žrtve.
“Imajte na umu da Da bi eksploatacija uspjela, cilj mora biti uvjeren da otvori email u ranjivom webmail portalu. To znači da email mora zaobići spam filtere, a naslov poruke mora biti dovoljno uvjerljiv da navede metu da pročita poruku, objašnjava ESET.”
Posmatrani maliciozni payload-i, prilagođeni za svaki server, a kolektivno praćeni pod nazivom ‘SpyPress’, kreiraju pravila za slanje kopija emailova napadačima, kradu pristupne podatke (automatski popunjene u skrivenom obrascu ili unijete na lažnoj stranici za prijavu), prikupljaju poruke i kontakte, te zaobilaze dvofaktorsku autentifikaciju.
U 2024, napadi su uglavnom ciljali subjekte povezane sa ratom u Ukrajini, poput ukrajinskih vladinih organizacija i odbrambenih kompanija u Bugarskoj i Rumuniji. Međutim, pogođene su i vlade u Africi, Evropi i Južnoj Americi.
Tokom posljednje dvije godine, webmail serveri poput Roundcube i Zimbra su bili glavni cilj nekoliko špijunskih grupa poput Sednit, GreenCube i Winter Vivern. Zbog činjenice da mnoge organizacije ne održavaju webmail servere ažurnim, i zbog toga što ranjivosti mogu biti aktivirane daljinski slanjem email poruke, napadačima je veoma lako da ciljaju ove servere radi krađe emailova, navodi ESET.
Izvor: SecurityWeek
