HackerNews 编译,转载请注明出处:
斯洛伐克网络安全公司ESET最新研究发现,与俄罗斯有关联的威胁组织通过跨站脚本(XSS)漏洞对Roundcube、Horde、MDaemon和Zimbra等主流邮件系统实施网络间谍活动,其中针对MDaemon的漏洞在攻击初期属于零日漏洞。该行动被命名为“Operation RoundPress”,研究人员以中等置信度将其归因于俄罗斯政府支持的黑客组织APT28(又名BlueDelta、Fancy Bear、Sednit)。
ESET研究员Matthieu Faou在向《黑客新闻》提供的报告中指出:“此次行动的核心目标是窃取特定邮箱账户的机密数据。主要受害者集中于东欧政府机构及军工企业,但我们也观察到非洲、欧洲和南美洲的政府部门同样遭到攻击。”这并非APT28首次利用邮件系统漏洞——2023年6月,Recorded Future曾披露该组织滥用Roundcube的三个历史漏洞(CVE-2020-12641、CVE-2020-35730和CVE-2021-44026)进行侦察和数据收集。
自2023年以来,Winter Vivern、UNC3707(即GreenCube)等其他威胁组织也持续针对邮件系统发起攻击。ESET将RoundPress行动与APT28建立关联的依据包括:钓鱼邮件发件地址的重叠性,以及服务器配置手法的相似性。2024年的攻击目标主要涉及乌克兰政府机构、保加利亚与罗马尼亚的军工企业(部分企业正在为乌克兰生产苏制武器),其他受害者还包括希腊、喀麦隆、厄瓜多尔、塞尔维亚和塞浦路斯的政府、军事及学术机构。
攻击者通过Horde、MDaemon和Zimbra的XSS漏洞在网页邮箱界面执行任意JavaScript代码。值得注意的是,美国网络安全与基础设施安全局(CISA)已于2024年2月将Roundcube漏洞CVE-2023-43770列入已知被利用漏洞(KEV)目录。虽然Horde(2007年发布的Horde Webmail 1.0已修复的未公开旧漏洞)、Roundcube和Zimbra(CVE-2024-27443)的漏洞均属于已公开补丁的缺陷,但MDaemon的XSS漏洞(CVE-2024-11182,CVSS评分5.3)在被利用时尚未修复,该漏洞已于2023年11月发布的24.5.1版本完成修补。
Faou解释道:“Sednit通过电子邮件发送这些XSS漏洞利用程序。恶意JavaScript代码会在浏览器运行的网页邮箱客户端中执行,因此攻击者仅能读取和窃取受害者账户权限内的数据。”不过,攻击成功的必要条件是受害者需在存在漏洞的网页邮箱界面打开邮件,且邮件需绕过垃圾邮件过滤器进入收件箱。由于触发XSS漏洞的恶意代码隐藏在邮件正文的HTML代码中,邮件本身内容看起来完全正常。
漏洞成功利用后,名为SpyPress的混淆JavaScript有效载荷将执行窃取邮箱凭证、邮件内容和联系人信息的操作。该恶意软件虽不具备持久化机制,但每次打开被篡改的邮件时都会重新加载。ESET补充指出:“我们还检测到部分SpyPress.ROUNDCUBE变种具备创建Sieve规则的能力。该规则会将所有新邮件的副本转发至攻击者控制的邮箱地址,由于Sieve规则是Roundcube的固有功能,即使恶意脚本停止运行,规则仍将持续生效。”
窃取的数据通过HTTP POST请求发送至硬编码的命令与控制(C2)服务器。某些恶意软件变种还能捕获登录记录、双因素认证(2FA)代码,甚至为MDAEMON创建应用密码,确保在用户修改密码或2FA代码后仍能维持邮箱访问权限。Faou警告称:“过去两年间,Roundcube和Zimbra等网页邮箱服务器已成为Sednit、GreenCube和Winter Vivern等多个间谍组织的重点目标。由于许多机构未能及时更新邮件系统补丁,加之攻击者仅需发送邮件即可远程触发漏洞,此类服务器极易沦为邮件窃取的跳板。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
