Новости RoundPress: кампания, в которой один скрипт пробил оборону правительства

[NewsMaker]

Когда просто «прочитать» письмо значит отдать пароли, контакты и государственные тайны.

---

---

Хакерская группировка APT28 с 2023 года проводит масштабную кибершпионскую операцию RoundPress, нацеленную на похищение электронной переписки правительственных организаций и объектов критической инфраструктуры по всему миру. Кампания продолжается по сей день, адаптируясь под новые уязвимости и методы взлома.

В операции задействованы как давно известные, так и совершенно новые уязвимости в популярных веб-почтовых системах, включая Roundcube, Horde, MDaemon и Zimbra. По Для просмотра ссылки Войди или Зарегистрируйся ESET, цели атак включают правительственные учреждения Греции, Украины, Сербии и Камеруна, украинские и эквадорские военные подразделения, оборонные предприятия в Болгарии, Украине и Румынии, а также критическую инфраструктуру в Болгарии и Украине.

Атака начинается с тщательно подобранного фишингового письма, оформленного под актуальные новости или политические события, чтобы вызвать доверие. В HTML-тело таких писем встраивается вредоносный JavaScript-код, использующий XSS- Для просмотра ссылки Войди или Зарегистрируйся в веб-интерфейсе почтового клиента. Для заражения достаточно лишь открыть письмо в браузере — никакие клики или загрузки не требуются.

Код не сохраняется на устройстве и срабатывает только во время открытия письма. Сценарий создаёт невидимые поля ввода, чтобы обмануть браузер или менеджер паролей и заставить их автоматически подставить логин и пароль. Кроме того, скрипт анализирует содержимое страницы, собирая переписку, контакты, настройки, историю входов и даже коды двухфакторной аутентификации. Все данные передаются на заранее запрограммированные серверы управления.

В рамках RoundPress были задействованы следующие уязвимости:

• <strong>Roundcube – Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 6.1)</strong>: Stored XSS, позволяющая внедрить JavaScript в тело письма. Использовалась в 2023 году.
  
• <strong>Roundcube – Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 6.1)</strong>: Уязвимость обработки гиперссылок, активно применялась в начале 2024 года.
  
• <strong>MDaemon – Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 5.3)</strong>: Zero-day уязвимость в HTML-парсере, использовалась во второй половине 2024 года. Позволяла обойти 2FA и получать доступ через App Passwords.
  
• <strong>Horde – неизвестная XSS</strong>: Попытка эксплуатации старой XSS через обработчик <code><img onerror></code>, но защита в новых версиях оказалась эффективной.
  
• <strong>Zimbra – Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 6.1)</strong>: Уязвимость в системе календарей, позволявшая внедрить скрытый скрипт через заголовок X-Zimbra-Calendar-Intended-For.
  

Каждый используемый скрипт был адаптирован под особенности конкретного почтового сервера, что говорит о высокой степени подготовки атакующих. Хотя в 2025 году новая активность RoundPress не зафиксирована, применённые техники легко масштабируются на свежие XSS-уязвимости, регулярно появляющиеся в популярных системах веб-почты.

Данная кампания демонстрирует, насколько уязвимы даже легитимные веб-интерфейсы почтовых клиентов при минимальной пользовательской активности. Однажды открытое письмо может стоить целой инфраструктуры безопасности, если злоумышленники используют такую методику.