Um ator de ameaças vinculado à Rússia foi atribuído a uma operação de ciberespionagem visando servidores de webmail como Roundcube, Horde, MDaemon e Zimbra por meio de vulnerabilidades de cross-site scripting (XSS), incluindo um zero-day na época em MDaemon, de acordo com novas descobertas da ESET.
A atividade, que começou em 2023, foi apelidada de Operação RoundPress pela empresa eslovaca de cibersegurança.
Foi atribuída com média confiança ao grupo de hackers patrocinado pelo estado russo rastreado como APT28, que também é referido como BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422.
"O objetivo final dessa operação é roubar dados confidenciais de contas de email específicas", disse o pesquisador da ESET, Matthieu Faou, em um relatório compartilhado com a imprensa.
A maioria das vítimas são entidades governamentais e empresas de defesa na Europa Oriental, embora tenhamos observado governos na África, Europa e América do Sul sendo visados também.
Esta não é a primeira vez que o APT28 é ligado a ataques que exploram falhas em softwares de webmail.
Em junho de 2023, a Recorded Future detalhou o abuso do ator de ameaças de múltiplas falhas no Roundcube (
CVE-2020-12641
,
CVE-2020-35730
e
CVE-2021-44026
) para realizar reconhecimento e coleta de dados.
Desde então, outros atores de ameaças como Winter Vivern e UNC3707 (também conhecido como GreenCube) também visaram soluções de email, incluindo o Roundcube em várias campanhas ao longo dos anos.
Os laços da Operação RoundPress com o APT28 vêm de sobreposições no endereço de email usado para enviar os e-mails de spear-phishing e semelhanças na maneira como certos servidores foram configurados.
A maioria dos alvos da campanha em 2024 foi encontrada em entidades governamentais ucranianas ou empresas de defesa na Bulgária e Romênia, algumas das quais estão produzindo armas da era soviética para serem enviadas à Ucrânia.
Outros alvos incluem organizações governamentais, militares e acadêmicas na Grécia, Camarões, Equador, Sérvia e Chipre.
Os ataques envolvem a exploração de vulnerabilidades XSS no Horde, MDaemon e Zimbra para executar código JavaScript arbitrário no contexto da janela de webmail.
Vale ressaltar que o
CVE-2023-43770
foi adicionado pela Agência de Cibersegurança e Infraestrutura de Segurança dos EUA (CISA) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em fevereiro de 2024.
Embora os ataques visando Horde (uma falha antiga não especificada corrigida no Horde Webmail 1.0 lançado em 2007), Roundcube (
CVE-2023-43770
) e Zimbra (
CVE-2024-27443
) tenham explorado falhas de segurança já conhecidas e corrigidas, a vulnerabilidade XSS do MDaemon é avaliada como tendo sido usada pelo ator de ameaças como um zero-day.
Atribuído ao identificador CVE
CVE-2024-11182
(pontuação CVSS: 5.3), foi corrigido na versão 24.5.1 em novembro passado.
"Sednit envia esses exploits de XSS por e-mail", disse Faou.
Os exploits levam à execução de código JavaScript malicioso no contexto da página web do cliente de webmail rodando em uma janela do navegador.
Portanto, apenas dados acessíveis da conta da vítima podem ser lidos e exfiltrados.
No entanto, para o exploit ser bem-sucedido, o alvo deve ser convencido a abrir a mensagem de email no portal de webmail vulnerável, assumindo que é capaz de contornar os filtros de spam do software e chegar à caixa de entrada do usuário.
O conteúdo do próprio email é inofensivo, já que o código malicioso que aciona a falha de XSS reside dentro do código HTML do corpo da mensagem de email e, portanto, não é visível para o usuário.
A exploração bem-sucedida leva à execução de um payload JavaScript ofuscado chamado SpyPress que vem com a capacidade de roubar credenciais de webmail e colher mensagens de email e informações de contato da caixa de correio da vítima.
O malware, apesar de não ter um mecanismo de persistência, é recarregado toda vez que a mensagem de email armadilhada é aberta.
"Além disso, detectamos alguns payloads SpyPress.ROUNDCUBE que têm a capacidade de criar regras Sieve", disse a ESET.
SpyPress.ROUNDCUBE cria uma regra que enviará uma cópia de cada email recebido para um endereço de email controlado pelo atacante.
Regras Sieve são um recurso do Roundcube e, portanto, a regra será executada mesmo se o script malicioso não estiver mais em execução.
As informações coletadas são subsequentemente exfiltradas via uma solicitação HTTP POST para um servidor de comando e controle (C2) codificado.
Variantes selecionadas do malware também foram encontradas para capturar o histórico de login, códigos de autenticação de dois fatores (2FA) e até criar uma senha de aplicativo para MDAEMON para manter o acesso à caixa de correio mesmo que a senha ou o código 2FA sejam alterados.
"Nos últimos dois anos, servidores de webmail como Roundcube e Zimbra têm sido um alvo principal para vários grupos de espionagem como Sednit, GreenCube e Winter Vivern", disse Faou.
Como muitas organizações não mantêm seus servidores de webmail atualizados e porque as vulnerabilidades podem ser acionadas remotamente enviando uma mensagem de e-mail, é muito conveniente para os atacantes visar tais servidores para roubo de email.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...