Неизвестные хакеры атакуют госорганы СНГ через Roundcube
NewsMakerКак пустое, на первый взгляд, электронное письмо оказалось ключом к компрометации сети?
В киберпространстве зафиксирована попытка злоумышленников воспользоваться уязвимостью в Roundcube — популярном почтовом веб-клиенте с открытым исходным кодом. Специалисты Positive Technologies обнаружили, что в июне 2024 года в один из государственных органов страны СНГ было отправлено фишинговое письмо. При этом сообщение выглядело пустым и не содержало видимого текста, кроме вложения.
Однако анализ показал, что письмо включало специфические теги с кодом eval(atob(...)), позволяющим запускать JavaScript прямо в браузере получателя. Этот подход использовал уязвимость CVE-2024-37383 — Stored XSS через SVG-анимацию, оценённый на 6.1 балла по шкале CVSS.
Проблема заключалась в том, что злоумышленники могли внедрить произвольный JavaScript в качестве значения для «href» и активировать его при открытии письма. Вредоносный код сохранял пустое вложение Word («Road map.docx»), а затем обращался к почтовому серверу через плагин ManageSieve для получения сообщений.
В дальнейшем на странице почтового клиента отображалась фальшивая форма входа, имитирующая интерфейс Roundcube. После ввода логина и пароля данные пересылались на удалённый сервер libcdn[.]org, хостинг которого предоставлялся Cloudflare.
Хотя не удалось точно определить, какие конкретно злоумышленники стояли за этой атакой, ранее в операциях, нацеленных на Roundcube, уже уличали группы APT28, Winter Vivern и TAG-70. В Positive Technologies подчёркивают, что несмотря на ограниченное распространение Roundcube, данный почтовый клиент активно используется в правительственных учреждениях, что делает его привлекательной целью для кибератак.
Уязвимость была устранена в версиях 1.5.7 и 1.6.7, выпущенных в мае 2024 года.
В киберпространстве зафиксирована попытка злоумышленников воспользоваться уязвимостью в Roundcube — популярном почтовом веб-клиенте с открытым исходным кодом. Специалисты Positive Technologies обнаружили, что в июне 2024 года в один из государственных органов страны СНГ было отправлено фишинговое письмо. При этом сообщение выглядело пустым и не содержало видимого текста, кроме вложения.
Однако анализ показал, что письмо включало специфические теги с кодом eval(atob(...)), позволяющим запускать JavaScript прямо в браузере получателя. Этот подход использовал уязвимость CVE-2024-37383 — Stored XSS через SVG-анимацию, оценённый на 6.1 балла по шкале CVSS.
Проблема заключалась в том, что злоумышленники могли внедрить произвольный JavaScript в качестве значения для «href» и активировать его при открытии письма. Вредоносный код сохранял пустое вложение Word («Road map.docx»), а затем обращался к почтовому серверу через плагин ManageSieve для получения сообщений.
В дальнейшем на странице почтового клиента отображалась фальшивая форма входа, имитирующая интерфейс Roundcube. После ввода логина и пароля данные пересылались на удалённый сервер libcdn[.]org, хостинг которого предоставлялся Cloudflare.
Хотя не удалось точно определить, какие конкретно злоумышленники стояли за этой атакой, ранее в операциях, нацеленных на Roundcube, уже уличали группы APT28, Winter Vivern и TAG-70. В Positive Technologies подчёркивают, что несмотря на ограниченное распространение Roundcube, данный почтовый клиент активно используется в правительственных учреждениях, что делает его привлекательной целью для кибератак.
Уязвимость была устранена в версиях 1.5.7 и 1.6.7, выпущенных в мае 2024 года.