CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Hackers ligados à Rússia usam bugs do Roundcube para ataques

Da Redação
21/02/2024

Operadores de ameaças alinhados à Bielorrússia e a Rússia foram identificados em uma nova campanha de espionagem cibernética que provavelmente explorou vulnerabilidades de scripting entre sites (XSS) em servidores de webmail Roundcube para atingir mais de 80 organizações.

As empresas estão localizadas principalmente na Geórgia, Polônia e na Ucrânia, de acordo com a Recorded Future, que atribuiu o conjunto de invasões a um operador de ameaça chamado Winter Vivern, também conhecido como TA473 e UAC0114. A empresa de segurança cibernética está rastreando o grupo de hackers sob o apelido de Threat Activity Group 70 (TAG-70).

A exploração de falhas de segurança em servidores de e-mail Roundcube pelo hacker foi divulgada anteriormente pela ESET, em outubro de 2023, juntando-se a outros grupos de ameaças ligados à Rússia, como APT28, APT29 e Sandworm, conhecidos por visarem software de e-mail.

O TAG-70, que está ativo desde pelo menos dezembro de 2020, também foi associado à exploração de uma vulnerabilidade agora corrigida no software de e-mail Zimbra Collaboration no ano passado para se infiltrar em organizações na Moldávia e na Tunísia em julho de 2023.

A campanha descoberta pela Recorded Future vem ocorrendo desde o início de outubro de 2023 e continuou até meados deste mês com o objetivo de recolher informações sobre as atividades políticas e militares europeias. Os ataques coincidem com atividades adicionais do TAG-70 contra servidores de correio do governo do Uzbequistão que foram detectadas em março do ano passado.

Veja isso
Grupo envia e-mail direto a recrutadores para liberar malware
E-mail de phishing gerado por IA é quase impossível de detectar

“O TAG70 demonstrou um alto nível de sofisticação nos seus métodos de ataque”, disse a empresa. “Os atores da ameaça aproveitaram técnicas de engenharia social e exploraram vulnerabilidades de script entre sites em servidores de webmail Roundcube para obter acesso não autorizado a servidores de e-mail direcionados, contornando as defesas de organizações governamentais e militares.”

As cadeias de ataque envolvem a exploração de falhas do Roundcube para entregar cargas JavaScript projetadas para exfiltrar as credenciais do usuário para um servidor de comando e controle (C&C).

A Recorded Future disse que também encontrou evidências do TAG-70 visando as embaixadas iranianas na Rússia e na Holanda, bem como a embaixada da Geórgia na Suécia e à Otan.

Para ter acesso ao relatório completo da Recorded Future, em inglês, clique aqui.

Compartilhar: