Orosz kibertevékenység kelet-európai kormányzatok ellen
Az ESET jelentése szerint nemrégiben megfigyelték, hogy az Oroszországhoz köthető APT28 csoport kelet-európai állami szervek és védelmi vállalatok által használt webmail-kiszolgálókat használja ki XSS sérülékenységeken keresztül. A Fancy Bear, BlueDelta, Forest Blizzard és Sofacy néven is ismert csoport elsősorban ukrajnai, bolgár és romániai szervezeteket vett célba, de afrikai, dél-amerikai és más európai kormányok is érintettek voltak a csoport kibertevékenységében.
A kampány jellemzően olyan adathalász e-mailt tartalmazott, amely hírek részleteit vagy cikkekre mutató linkeket tartalmazott – az egyik esetben egy ukrán áldozat olyan e-mailt kapott, amely az ország egyik ismert újságjára, a Kyiv Postra hivatkozott. Az XSS sérülékenységet kihasználó rosszindulatú kódot az üzenet törzsében rejtették el, és nem volt közvetlenül látható a felhasználó számára. A betöltött payload-ok lehetővé tették a támadók számára, hogy a bejelentkezési adatokat szerezzenek meg, exfiltrálják a kontaktokat és hozzáférjenek az áldozat postafiókjában lévő e-mailekhez. Az érintett védelmi vállalatok közül néhány szovjet korabeli fegyvereket gyárt Ukrajna számára.
Az elmúlt két évben több kiberszereplő, köztük az APT28, a GreenCube és a Winter Vivern is kihasználta az olyan webmail-szolgáltatásokat, mint a Roundcube és a Zimbra. Az ESET jelentése szerint a kihasznált sérülékenységek között van az MDaemon CVE-2024-11182, a Roundcube CVE-2023-43770 és a Zimbra CVE-2024-27443 sérülékenysége.
A kiberszereplő nem alakít ki perzisztenciát, hanem a payload minden alkalommal újratöltődik, amikor az áldozat megnyitja a rosszindulatú e-mailt. Az ESET észlelt néhány SpyPress.ROUNDCUBE payload-ot, amelyek képesek Sieve szabályok létrehozására. A SpyPress.ROUNDCUBE olyan szabályt hoz létre, amely minden bejövő e-mail másolatát elküldi a kiberszereplő által ellenőrzött e-mail címre. A Sieve szabályok a Roundcube egyik funkciója, ezért a szabály akkor is végrehajtásra kerül, ha a rosszindulatú szkript már nem fut.
