Un actor de amenaza vinculado a Rusia se ha atribuido a una operación de ciber espionaje dirigida a servidores de correo web como RoundCube, Horde, Mdemon y Zimbra a través de vulnerabilidades de secuencias de comandos de sitios cruzados (XSS), incluido un día de cero en mdaemon, según nuevos hallazgos de ESET.
La actividad, que comenzó en 2023, ha sido nombrado en código Operación RoundPress por la Compañía de Ciberseguridad Eslovaco. Se ha atribuido con la confianza media al grupo de piratería patrocinado por el estado ruso rastreado como Apt28, que también se conoce como BlueDelta, oso elegante, lucha contra Ursa, Blizzard Forest, Frozenlake, Iron Twilight, ITG05, Pewn Storm, Sednit, Sofacy y Ta422.
«El objetivo final de esta operación es robar datos confidenciales de cuentas de correo electrónico específicas», dijo el investigador de ESET Matthieu Faou en un informe compartido con Hacker News. «La mayoría de las víctimas son entidades gubernamentales y compañías de defensa en Europa del Este, aunque hemos observado que los gobiernos en África, Europa y América del Sur también están siendo atacados».
Esta no es la primera vez que APT28 se ha vinculado a ataques que explotan fallas en el software Webmail. En junio de 2023, el futuro registrado detalló el abuso del actor de amenaza de múltiples fallas en RoundCube (CVE-2020-12641, CVE-2020-35730 y CVE-2021-44026) para llevar a cabo el reconocimiento y la recopilación de datos.
Desde entonces, otros actores de amenaza como Winter Vivern y UNC3707 (también conocido como Greencube) también han dirigido soluciones de correo electrónico, incluidas RoundCube, en varias campañas a lo largo de los años. Los lazos de Operation RoundPress a Apt28 provienen de superposiciones en la dirección de correo electrónico utilizada para enviar los correos electrónicos y similitudes de phishing de lanza en la forma en que se configuraron ciertos servidores.
Se ha encontrado que la mayoría de los objetivos de la campaña en 2024 son entidades gubernamentales ucranianas o compañías de defensa en Bulgaria y Rumania, algunas de las cuales producen armas de la era soviética que se enviarán a Ucrania. Otros objetivos incluyen organizaciones gubernamentales, militares y académicas en Grecia, Camerún, Ecuador, Serbia y Chipre.
Los ataques implican la explotación de las vulnerabilidades de XSS en Horde, Mdaemon y Zimbra para ejecutar el código de JavaScript arbitrario en el contexto de la ventana Webmail. Vale la pena señalar que CVE-2023-43770, un error XSS en RoundCube, fue agregado por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. A su catálogo de vulnerabilidades explotadas (KEV) conocidas en febrero de 2024.
Mientras que los ataques dirigidos a Horde (un defecto antiguo no especificado fijado en Horde Webmail 1.0 lanzados en 2007), RoundCube (CVE-2023-43770) y Zimbra (CVE-2024-27443) defectos de seguridad ya conocidos y parcheados y parcheados, la vulnerabilidad de Mdaemon XS se ha utilizado por la amenaza como un día de amenaza. Asignado el identificador CVE CVE-2024-11182 (puntaje CVSS: 5.3), fue parcheado en la versión 24.5.1 en noviembre pasado.
«Sednit envía estas exploits XSS por correo electrónico», dijo Faou. «Las exploits conducen a la ejecución del código JavaScript malicioso en el contexto de la página web del cliente webmail que se ejecuta en una ventana del navegador. Por lo tanto, solo los datos accesibles desde la cuenta de la víctima pueden leerse y exfiltrarse».
Sin embargo, para que el exploit sea exitoso, el objetivo debe estar convencido de abrir el mensaje de correo electrónico en el portal de correo web vulnerable, suponiendo que pueda evitar los filtros de spam y aterrizar en la bandeja de entrada del usuario. El contenido del correo electrónico en sí es inocuo, ya que el código malicioso que desencadena el defecto de XSS reside dentro del código HTML del cuerpo del mensaje de correo electrónico y, por lo tanto, no es visible para el usuario.
La explotación exitosa conduce a la ejecución de una carga útil de JavaScript ofondeada llamada SpyPress que viene con la capacidad de robar credenciales de correo web y cosechar mensajes de correo electrónico e información de contacto del buzón de la víctima. El malware, a pesar de la falta de un mecanismo de persistencia, se vuelve a cargar cada vez que se abre el mensaje de correo electrónico atrapado en el booby.
«Además, detectamos algunas cargas útiles SpyPress.RoundCube que tienen la capacidad de crear reglas de tamiz», dijo Eset. «Spypress.roundCube crea una regla que enviará una copia de cada correo electrónico entrante a una dirección de correo electrónico controlada por el atacante. Las reglas de tamiz son una característica de RoundCube y, por lo tanto, la regla se ejecutará incluso si el script malicioso ya no se ejecuta».
La información recopilada se exfiltra posteriormente a través de una solicitud de publicación HTTP a un servidor de comando y control (C2) codificado. También se ha encontrado que las variantes seleccionadas del malware capturen el historial de inicio de sesión, los códigos de autenticación de dos factores (2FA) e incluso creen una contraseña de aplicación para que Mdaemon retenga el acceso al buzón, incluso si la contraseña o el código 2FA se cambia.
«En los últimos dos años, los servidores de correo web como RoundCube y Zimbra han sido un objetivo importante para varios grupos de espionaje como Sednit, Greencube e Winter Vivern», dijo Faou. «Debido a que muchas organizaciones no mantienen actualizados a sus servidores de correo web y debido a que las vulnerabilidades se pueden activar de forma remota enviando un mensaje de correo electrónico, es muy conveniente que los atacantes apunten a dichos servidores para el robo de correo electrónico».