Новости Неизвестные хакеры атакуют госорганы СНГ через Roundcube

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Как пустое, на первый взгляд, электронное письмо оказалось ключом к компрометации сети?


42arpj4my0gwwj036596h4gwta0745gc.jpg


В киберпространстве зафиксирована попытка злоумышленников воспользоваться уязвимостью в Roundcube — популярном почтовом веб-клиенте с открытым исходным кодом. Специалисты Positive Technologies Для просмотра ссылки Войди или Зарегистрируйся что в июне 2024 года в один из государственных органов страны СНГ было отправлено фишинговое письмо. При этом сообщение выглядело пустым и не содержало видимого текста, кроме вложения.

Однако анализ показал, что письмо включало специфические теги с кодом eval(atob(...)), позволяющим запускать JavaScript прямо в браузере получателя. Этот подход использовал уязвимость CVE-2024-37383 — Stored XSS через SVG-анимацию, оценённый на 6.1 балла по шкале CVSS.

Проблема заключалась в том, что злоумышленники могли внедрить произвольный JavaScript в качестве значения для «href» и активировать его при открытии письма. Вредоносный код сохранял пустое вложение Word («Road map.docx»), а затем обращался к почтовому серверу через плагин ManageSieve для получения сообщений.

В дальнейшем на странице почтового клиента отображалась фальшивая форма входа, имитирующая интерфейс Roundcube. После ввода логина и пароля данные пересылались на удалённый сервер libcdn[.]org, хостинг которого предоставлялся Cloudflare.

Хотя не удалось точно определить, какие конкретно злоумышленники стояли за этой атакой, ранее в операциях, нацеленных на Roundcube, уже уличали группы APT28, Winter Vivern и TAG-70. В Positive Technologies подчёркивают, что несмотря на ограниченное распространение Roundcube, данный почтовый клиент активно используется в правительственных учреждениях, что делает его привлекательной целью для кибератак.

Уязвимость была устранена в версиях 1.5.7 и 1.6.7, выпущенных в мае 2024 года.
 
Источник новости
www.securitylab.ru

Похожие темы