Aktor ancaman terkait-Rusia telah dikaitkan dengan operasi spionase cyber yang menargetkan server webmail seperti Roundcube, Horde, Mdaemon, dan Zimbra melalui kerentanan scripting lintas-situs (XSS), termasuk Mdaemon saat itu di Mdaemon, menurut temuan baru dari ESET.
Kegiatan, yang dimulai pada tahun 2023, telah diberi nama sandi Operasi Roundpress oleh perusahaan cybersecurity Slovakia. Ini telah dikaitkan dengan kepercayaan sedang dengan kelompok peretasan yang disponsori negara Rusia yang dilacak sebagai APT28, yang juga disebut sebagai Bluedelta, Fancy Bear, Fighting Ursa, Forest Blizzard, Frozenlake, Iron Twilight, ITG05, Badai Gadai, Sednit, Sofacy, dan TA422.
“Tujuan utama dari operasi ini adalah untuk mencuri data rahasia dari akun email tertentu,” kata peneliti ESET Matthieu Faou dalam sebuah laporan yang dibagikan kepada Hacker News. “Sebagian besar korban adalah entitas pemerintah dan perusahaan pertahanan di Eropa Timur, meskipun kami telah mengamati pemerintah di Afrika, Eropa, dan Amerika Selatan juga menjadi sasaran.”
Ini bukan pertama kalinya APT28 terikat pada serangan yang mengeksploitasi kelemahan dalam perangkat lunak webmail. Pada bulan Juni 2023, rekaman di masa depan merinci penyalahgunaan ancaman aktor terhadap beberapa kelemahan di Roundcube (CVE-2020-12641, CVE-2020-35730, dan CVE-2021-44026) untuk melakukan pengintaian dan pengumpulan data.
Sejak itu, aktor ancaman lainnya seperti Winter Vivern dan UNC3707 (alias Greencube) juga menargetkan solusi email, termasuk Roundcube dalam berbagai kampanye selama bertahun -tahun. Ikatan Operasi Roundpress dengan APT28 Batang dari tumpang tindih di alamat email yang digunakan untuk mengirim email phishing tombak dan kesamaan dalam cara server tertentu dikonfigurasi.
Mayoritas target kampanye pada tahun 2024 telah ditemukan sebagai entitas pemerintah Ukraina atau perusahaan pertahanan di Bulgaria dan Rumania, beberapa di antaranya memproduksi senjata era Soviet untuk dikirim ke Ukraina. Target lain termasuk organisasi pemerintah, militer, dan akademik di Yunani, Kamerun, Ekuador, Serbia, dan Siprus.
Serangan tersebut memerlukan eksploitasi kerentanan XSS di Horde, Mdaemon, dan Zimbra untuk menjalankan kode JavaScript yang sewenang -wenang dalam konteks jendela webmail. Perlu dicatat bahwa CVE-2023-43770 ditambahkan oleh Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) ke katalog kerentanan yang diketahui (KEV) yang diketahui pada Februari 2024.
Sementara serangan yang menargetkan gerombolan (cacat lama yang tidak ditentukan di Webmail Horde 1.0 yang dirilis pada tahun 2007), RoundCube (CVE-2023-43770), dan Zimbra (CVE-2024-2743) yang diketahui oleh CVE-ZICE-NECE-AKUS TO yang telah diketahui dan ditambal, MDAONE XSS Vulnerability. Ditugaskan CVE Identifier CVE-2024-11182 (skor CVSS: 5.3), ditambal dalam versi 24.5.1 November lalu.
“Sednit mengirimkan eksploitasi XSS ini melalui email,” kata Faou. “Eksploitasi mengarah pada pelaksanaan kode JavaScript berbahaya dalam konteks halaman web klien webmail yang berjalan di jendela browser. Oleh karena itu, hanya data yang dapat diakses dari akun korban yang dapat dibaca dan dikeluarkan.”
Namun, agar eksploitasi berhasil, target harus diyakinkan untuk membuka pesan email di portal webmail yang rentan, dengan asumsi ia dapat memotong filter spam perangkat lunak dan mendarat di kotak masuk pengguna. Isi email itu sendiri tidak berbahaya, karena kode jahat yang memicu cacat XSS berada dalam kode HTML dari tubuh pesan email dan, oleh karena itu, tidak terlihat oleh pengguna.
Eksploitasi yang berhasil mengarah pada pelaksanaan muatan JavaScript yang dikalahkan bernama Spypress yang datang dengan kemampuan untuk mencuri kredensial webmail dan memanen pesan email dan menghubungi informasi dari kotak surat korban. Malware, meskipun tidak memiliki mekanisme kegigihan, akan dimuat ulang setiap kali pesan email yang terjebak booby dibuka.
“Selain itu, kami mendeteksi beberapa muatan spypress.roundcube yang memiliki kemampuan untuk membuat aturan saringan,” kata Eset. “Spypress.RoundCube membuat aturan yang akan mengirim salinan setiap email yang masuk ke alamat email yang dikendalikan oleh penyerang. Aturan ayakan adalah fitur RoundCube dan oleh karena itu aturan akan dieksekusi bahkan jika skrip jahat tidak lagi berjalan.”
Informasi yang dikumpulkan kemudian dieksfiltrasi melalui permintaan HTTP POST ke server perintah-dan-kontrol (C2). Pilih varian malware juga telah ditemukan untuk menangkap riwayat login, kode otentikasi dua faktor (2FA), dan bahkan membuat kata sandi aplikasi untuk mdaemon untuk mempertahankan akses ke kotak surat bahkan jika kata sandi atau kode 2FA diubah.
“Selama dua tahun terakhir, server webmail seperti Roundcube dan Zimbra telah menjadi target utama untuk beberapa kelompok spionase seperti Sednit, Greencube, dan Winter Vivern,” kata Faou. “Karena banyak organisasi tidak memperbarui server webmail mereka dan karena kerentanan dapat dipicu dari jarak jauh dengan mengirim pesan email, sangat nyaman bagi penyerang untuk menargetkan server tersebut untuk pencurian email.”
