Связанная с Россией вредоносная программа SpyPress использует веб-почту для шпионажа за Украиной

Компания ESET сообщает о RoundPress — кибершпионской кампании российской группы Fancy Bear (Sednit), нацеленной на организации, связанные с Украиной, с помощью уязвимостей веб-почты и вредоносного ПО SpyPress.

Исследователи кибербезопасности в ESET раскрыли сложную кампанию кибершпионажа под кодовым названием RoundPress, оценив со «средней степенью уверенности», что она организована поддерживаемой Россией группой Sednit (также известной как APT28 , Fancy Bear ). Эта операция активно нацелена на организации, связанные с продолжающимся конфликтом в Украине, и направлена ​​на извлечение конфиденциальных данных из уязвимых почтовых серверов, таких как RoundCube.

Группа Sednit, которую Министерство юстиции США связывает со взломом Национального комитета Демократической партии (DNC) в 2016 году и которую Hackread.com отслеживает при атаках на TV5Monde и WADA , использовала целевые фишинговые письма в кампании RoundPress.

Эти электронные письма используют уязвимости межсайтового скриптинга (XSS) в различных платформах веб-почты для внедрения вредоносного кода JavaScript, получившего название SpyPress, в браузер жертвы.

В сообщении в блоге ESET, опубликованном на сайте Hackread.com, исследователи отметили, что за последние два года группы шпионов выбрали в качестве мишеней для кражи электронной почты такие серверы веб-почты, как Roundcube и Zimbra, поскольку они устарели и имеют удаленные триггеры уязвимостей, что упрощает нацеливание.

В 2023 году исследователи наблюдали, как Sednit эксплуатирует CVE-2020-35730 в Roundcube . Однако в 2024 году кампания расширилась, чтобы нацелиться на уязвимости в:

• Horde (старая уязвимость XSS)

• Roundcube ( CVE-2023-43770 , исправлено 14 сентября 2023 г.)

• Zimbra ( CVE-2024-27443 , также известная как ZBUG-3730, исправлена ​​1 марта 2024 г.)

• MDaemon ( CVE-2024-11182 , уязвимость нулевого дня, о которой исследователи сообщили 1 ноября 2024 г. и которая была исправлена ​​в версии 24.5.1 14 ноября 2024 г.)

ESET отметила конкретное фишинговое письмо, отправленное 29 сентября 2023 года с адреса katecohen1984@portugalmailpt с использованием CVE‑2023‑43770 в Roundcube. Письма часто имитируют новостной контент, чтобы побудить жертв открыть их, например, письмо украинской цели от 11 сентября 2024 года с адреса kyivinfo24@ukrnet о предполагаемом аресте в Харькове и еще одно письмо болгарской цели от 8 ноября 2024 года с адреса office@terembgcom о Путине и Трампе.

Основными целями операции RoundPress в 2024 году, как установлено с помощью телеметрии ESET и данных VirusTotal, являются преимущественно украинские государственные структуры и оборонные предприятия в Болгарии и Румынии, некоторые из которых производят оружие советских времен для Украины.

Исследователи также наблюдали нападения на национальные правительства Греции, Камеруна, Эквадора, Сербии и Кипра (ученый, изучающий окружающую среду), телекоммуникационную фирму оборонного сектора в Болгарии, а также гражданскую авиатранспортную компанию и транспортную государственную компанию в Украине.

Варианты вредоносного ПО SpyPress (SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE и SpyPress.ZIMBRA) используют общие методы обфускации и взаимодействуют с серверами C2 посредством HTTP-запросов POST. Однако их возможности различаются.

Например, было замечено, что SpyPress.ROUNDCUBE создает правила Sieve для пересылки всех входящих писем на контролируемый злоумышленником адрес, например srezoska@skiffcom (Skiff — это ориентированный на конфиденциальность почтовый сервис). SpyPress.MDAEMON продемонстрировал возможность создания паролей приложений, предоставляя постоянный доступ.

Исследователи пришли к выводу, что продолжающаяся эксплуатация уязвимостей веб-почты такими группами, как Sednit, подчеркивает важность своевременного устранения уязвимостей и принятия надежных мер безопасности для защиты конфиденциальной информации от подобных целевых шпионских кампаний.

Дж. Стивен Коуски , технический директор SlashNext Email Security+, прокомментировал последние события, заявив: « Такие атаки, как Operation RoundPress, показывают, как быстро хакеры могут менять цели, особенно когда они находят уязвимости в популярных платформах электронной почты » .

« Независимо от того, используете ли вы платные коммерческие системы электронной почты или бесплатные самостоятельные решения с открытым исходным кодом, такие как RoundCube, ни одно решение не является полностью безопасным — самостоятельные системы часто создают ложное чувство безопасности, поскольку им по-прежнему требуются регулярные обновления и экспертное обслуживание » , — предупредил он.

« Лучший способ оставаться впереди — следить за тем, чтобы системы электронной почты всегда были обновлены и исправлены, использовать надежные средства защиты, такие как многофакторная аутентификация, и иметь инструменты, которые могут обнаруживать и блокировать фишинговые письма до того, как они попадут к пользователям », — посоветовал Коуски.