Een Rusland-gekoppelde dreigingsacteur is toegeschreven aan een cyberspionage-operatie gericht op webmail-servers zoals RoundCube, Horde, Mdaemon en Zimbra via cross-site scripting (XSS) kwetsbaarheden, inclusief een toenmalige day in MDaemon, volgens nieuwe bevindingen van ESET.
De activiteit, die in 2023 is begonnen, is gecodeerd Bediening Countress door de Slowaakse Cybersecurity Company. Het is toegeschreven met gemiddeld vertrouwen aan de door de Russische door de staat gesponsorde hackgroep gevolgd als APT28, die ook wordt genoemd als bluedelta, fancy bear, vechten tegen Ursa, Forest Blizzard, Frozenlake, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy en TA422.
“Het uiteindelijke doel van deze operatie is om vertrouwelijke gegevens te stelen van specifieke e -mailaccounts,” zei ESET -onderzoeker Matthieu Faou in een rapport dat werd gedeeld met het Hacker News. “De meeste slachtoffers zijn overheidsentiteiten en defensiebedrijven in Oost -Europa, hoewel we ook regeringen in Afrika, Europa en Zuid -Amerika hebben waargenomen.”
Dit is niet de eerste keer dat APT28 gekoppeld is aan aanvallen die fouten in webmailsoftware exploiteren. In juni 2023 heeft Future gedetailleerd het misbruik van de dreigingsacteur van meerdere gebreken in RoundCube opgenomen (CVE-2020-12641, CVE-2020-35730 en CVE-2011-44026) om verkennings- en gegevensverzameling uit te voeren.
Sindsdien hebben andere dreigingsacteurs zoals Winter Vivern en UNC3707 (AKA Greencube) ook gericht op e -mailoplossingen, waaronder RoundCube in verschillende campagnes door de jaren heen. Operatie Countress Countress-banden met APT28 STEM van overlappingen in het e-mailadres dat wordt gebruikt om de speer-phishing-e-mails en overeenkomsten te verzenden in de manier waarop bepaalde servers werden geconfigureerd.
Een meerderheid van de doelen van de campagne in 2024 is gebleken als Oekraïense overheidsentiteiten of defensiebedrijven in Bulgarije en Roemenië, waarvan sommige de wapens uit het Sovjet-tijdperk produceren om naar Oekraïne te worden gestuurd. Andere doelen zijn overheids-, militaire en academische organisaties in Griekenland, Kameroen, Ecuador, Servië en Cyprus.
De aanvallen omvatten de exploitatie van XSS -kwetsbaarheden in Horde, Mdaemon en Zimbra om willekeurige JavaScript -code uit te voeren in de context van het WebMail -venster. Het is vermeldenswaard dat CVE-2023-43770 door de Amerikaanse cybersecurity en infrastructuurbeveiliging (CISA) is toegevoegd aan de bekende uitgebuite catalogus van de Vulnerabilities (KEV) in februari 2024.
Terwijl de aanvallen gericht zijn op Horde (een niet-gespecificeerde oude fout die is vastgesteld in Horde WebMail 1.0 uitgebracht in 2007), hef RoundCube (CVE-2023-43770) en Zimbra (CVE-2014-27443) beveiligde beveiligingsdefecten reeds bekende en gepatcht, de MDAEMON XSS-vulling is die door de bedreigingsactor is gebruikt, is door de bedreigingsactor als een Zeral-dag te worden gebruikt. De CVE-ID’s toegewezen CVE-2024-11182 (CVSS-score: 5.3), deze werd afgelopen november in versie 24.5.1 gepatcht.
“Sednit stuurt deze XSS -exploits per e -mail,” zei Faou. “De exploits leiden tot de uitvoering van kwaadaardige JavaScript -code in de context van de webmail -client -webpagina die in een browservenster wordt uitgevoerd. Daarom kunnen alleen gegevens toegankelijk zijn vanaf het account van het slachtoffer worden gelezen en geëxfiltreerd.”
Voor de exploit die succesvol is, moet het doel echter overtuigd zijn om het e -mailbericht te openen in de kwetsbare webmailportal, ervan uitgaande dat het de spamfilters van de software kan omzeilen en op de inbox van de gebruiker kan landen. De inhoud van de e -mail zelf is onschadelijk, omdat de kwaadwillende code die de XSS -fouten activeert in de HTML -code van het lichaam van het e -mailbericht bevindt en daarom niet zichtbaar is voor de gebruiker.
Succesvolle exploitatie leidt tot de uitvoering van een verdoezelde JavaScript -payload genaamd Spypress die gepaard gaat met de mogelijkheid om webmail -referenties te stelen en e -mailberichten en contactgegevens uit de mailbox van het slachtoffer te oogsten. De malware, ondanks het ontbreken van een persistentie-mechanisme, wordt opnieuw geladen telkens wanneer het booby-ingepakte e-mailbericht wordt geopend.
“Bovendien hebben we een paar spypress.roundcube -payloads gedetecteerd die de mogelijkheid hebben om zeefregels te maken,” zei ESET. “Spypress.roundcube maakt een regel die een kopie van elke inkomende e-mail naar een aanvaller-gecontroleerd e-mailadres stuurt. Zeefregels zijn een functie van RoundCube en daarom wordt de regel uitgevoerd, zelfs als het kwaadaardige script niet langer actief is.”
De verzamelde informatie wordt vervolgens geëxfiltreerd via een HTTP-postverzoek naar een hardgecodeerde command-and-control (C2) -server. Selecteer varianten van de malware zijn ook gevonden om de inloggeschiedenis vast te leggen, tweefactor-authenticatie (2FA) -codes en maak zelfs een applicatiewachtwoord voor MDaemon om de toegang tot de mailbox te behouden, zelfs als het wachtwoord of de 2FA-code wordt gewijzigd.
“In de afgelopen twee jaar zijn webmailservers zoals RoundCube en Zimbra een belangrijk doelwit geweest voor verschillende spionagegroepen zoals Sednit, Greencube en Winter Vivern,” zei Faou. “Omdat veel organisaties hun webmail -servers niet up -to -date houden en omdat de kwetsbaarheden op afstand kunnen worden geactiveerd door een e -mailbericht te verzenden, is het erg handig voor aanvallers om dergelijke servers te targeten voor e -maildiefstal.”
