Эксперты компании по информационной безопасности ESET обнаружили рост активности российских кибершпионов, направленной на украинские государственные учреждения или оборонные компании в Болгарии и Румынии с целью похищения конфиденциальных данных из определенных учетных записей электронной почты.
В компании отмечают, что некоторые из этих оборонных предприятий производят оружие советских времен для отправки в Украину. Среди других целей – правительства стран Африки, ЕС и Южной Америки. За этим, вероятнее всего, стоит связанная с Россией группа кибершпионов Sednit (также известная как Fancy Bear).
"В прошлом году мы зафиксировали, как различные уязвимости XSS использовались во время атак на дополнительное программное обеспечение для веб-почты: Horde, MDaemon и Zimbra. Sednit также начала использовать более новую уязвимость CVE-2023-43770 в Roundcube. Уязвимость CVE-2024-11182 в MDaemon, которая сейчас исправлена, была "0-дневной" уязвимостью, скорее всего, обнаружена Sednit, тогда как уязвимости для Horde, Roundcube и Zimbra уже были известны и исправлены", – рассказал исследователь ESET Мэтье Фау.
Как действуют злоумышленники?
Группа Sednit отправляет эксплойты XSS по электронной почте, которые приводят к выполнению вредоносного кода JavaScript в контексте веб-страницы клиента веб-почты, работающей в окне браузера. Таким образом, только данные, доступные из аккаунта жертвы, могут быть прочитаны и перехвачены.
Чтобы эксплойт сработал, жертва должна открыть сообщения электронной почты на уязвимом портале веб-почты. Это означает, что электронное письмо должно обойти любую фильтрацию спама, а тема должна быть достаточно убедительной, чтобы жертва прочитала электронное сообщение. Поэтому злоумышленники используют во вредоносных письмах названия известных СМИ, такие как украинское информационное издание Kyiv Post или болгарский новостной портал News.bg. Среди заголовков, которые использовали шпионы: "СБУ арестовала банкира, работавшего на вражескую военную разведку в Харькове" или "Путин добивается от Трампа принятия российских условий в двусторонних отношениях".
Злоумышленники запускают компоненты JavaScript SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE и SpyPress.ZIMBRA. Они способны осуществить кражу учетных данных, перехватывать адресную книгу, контакты и истории входов, а также сообщения электронной почты. SpyPress.MDAEMON может настроить обход двухфакторной аутентификации, в частности перехватывать секретный код двухфакторной аутентификации и создавать пароль программы, позволяющий злоумышленникам получить доступ к почтовому ящику из программы.
"В последние два года серверы веб-почты, такие как Roundcube и Zimbra, были основной мишенью для нескольких шпионских групп, таких как Sednit, GreenCube и Winter Vivern. Поскольку многие организации вовремя не обновляют свои серверы веб-почты, а уязвимости активируются удаленно путем отправки сообщений электронной почты, злоумышленникам очень легко нацеливаться на такие серверы для кражи электронной почты", – объясняет исследователь ESET.
Группа Sednit, также известная как APT28, Fancy Bear, Forest Blizzard или Sofacy, действует, по крайней мере, с 2004 года. В Министерстве юстиции США назвали группу одной из ответственных за взлом Национального комитета Демократической партии (DNC) непосредственно перед выборами 2016 года в США и связали группу с ГРУ. Также предполагается, что группа ответственна за взлом глобальной телевизионной сети TV5Monde, утечку электронной почты Всемирного антидопингового агентства (WADA) и многие другие инциденты.
Чтобы не стать жертвой подобных атак, следует избегать открытия подозрительных сообщений или писем и загрузки неизвестных файлов в электронной почте. Также следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR), а также управления уязвимостями и исправлениями.
О компании:
ESET – эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основана в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.
