Hackers estão realizando uma campanha mundial de ciberespionagem conhecida como 'RoundPress', aproveitando-se de falhas zero-day e n-day em servidores de webmail para roubar emails de organizações governamentais de alto valor.
Pesquisadores da ESET, que descobriram a operação, atribuem-na, com média confiança, aos hackers patrocinados pelo estado russo APT28 (também conhecidos como "Fancy Bear" ou "Sednit").
A campanha começou em 2023 e continuou com a adoção de novos exploits em 2024, visando o Roundcube, Horde, MDaemon e Zimbra.
Entre os alvos notáveis estão governos na Grécia, Ucrânia, Sérvia e Camarões, unidades militares na Ucrânia e Equador, empresas de defesa na Ucrânia, Bulgária e Romênia, e infraestrutura crítica na Ucrânia e Bulgária.
O ataque começa com um email de spear-phishing referenciando notícias atuais ou eventos políticos, muitas vezes incluindo trechos de artigos de notícias para adicionar legitimidade.
Um payload malicioso de JavaScript embutido no corpo HTML do email detona a exploração de uma vulnerabilidade de cross-site scripting (XSS) na página de webmail usada pelo destinatário.
Tudo o que é necessário da vítima é abrir o email para visualizá-lo, pois não se exige nenhuma outra interação/cliques, redirecionamentos ou entrada de dados para que o script JavaScript malicioso seja executado.
O payload não possui mecanismos de persistência, então ele só executa quando o email malicioso é aberto.
O script cria campos de entrada invisíveis para enganar navegadores ou gerenciadores de senha a preencherem automaticamente as credenciais armazenadas para as contas de email da vítima.
Além disso, ele lê o DOM ou envia solicitações HTTP para coletar conteúdo de mensagens de email, contatos, configurações de webmail, histórico de login, autenticação de dois fatores e senhas.
Os dados são então exfiltrados para endereços de comando e controle (C2) codificados usando solicitações HTTP POST.
Cada script possui um conjunto levemente diferente de capacidades, ajustadas para o produto que está visando.
A Operação RoundPress visou diversas falhas XSS em vários produtos de webmail que organizações importantes comumente utilizam para injetar seus scripts JS maliciosos.
A exploração que a ESET associou com esta campanha envolve as seguintes falhas:
- Roundcube –
CVE-2020-35730
: Uma falha XSS armazenada que os hackers usaram em 2023, embutindo JavaScript diretamente no corpo de um email.
Quando as vítimas abriam o email em uma sessão de webmail baseada em navegador, o script era executado em seu contexto, possibilitando o roubo de credenciais e dados.
- Roundcube –
CVE-2023-43770
: Uma vulnerabilidade XSS em como o Roundcube tratava texto de hiperlink, explorada no início de 2024.
A sanitização inadequada permitia que os atacantes injetassem tags <script> no conteúdo do email, que seriam executadas quando visualizadas.
- MDaemon –
CVE-2024-11182
: Uma falha XSS zero-day no parser HTML do Servidor de Email MDaemon, explorada pelos hackers no final de 2024.
Ao criar um atributo de título malformado com uma tag noembed, os atacantes podiam renderizar um payload oculto <img onerror>, executando JavaScript.
Isso possibilitava o roubo de credenciais, a burla de 2FA e acesso persistente via App Passwords.
- Horde – XSS Desconhecido: APT28 tentou explorar uma antiga vulnerabilidade XSS no Horde colocando um script em um manipulador <img onerror>.
No entanto, a tentativa falhou, provavelmente devido à filtragem incorporada nas versões modernas do Horde.
A falha exata é não confirmada mas parece ter sido corrigida enquanto isso.
- Zimbra –
CVE-2024-27443
: Uma vulnerabilidade XSS no manuseio de convites do calendário do Zimbra, que não havia sido marcada como ativamente explorada antes.
Entrada não sanitizada do cabeçalho X-Zimbra-Calendar-Intended-For permitia a injeção de JavaScript na UI do calendário.
APT28 embutiu um script oculto que decodificava e executava JavaScript em base64 quando o convite era visualizado.
Embora a ESET não relate qualquer atividade da RoundPress para 2025, os métodos dos hackers poderiam ser facilmente aplicados também este ano, já que há um fornecimento constante de novas falhas XSS em produtos de webmail populares.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...