Новости Открыл письмо — впустил хакера. Китайские шпионы нашли идеальный вход в университеты

NewsMaker

I'm just a script
Премиум
28,168
46
8 Ноя 2022
Обнаружена кампания по взлому почтовых серверов Roundcube в университетах США и Канады.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
fcgoys80ip9yv4nxmq066kwn8i2z714u.jpg

Иногда для атаки на университетскую сеть хватает одного открытого письма. Специалисты Proofpoint раскрыли кампанию UNK_MassTraction, в которой предположительно связанная с Китаем группа взламывала почтовые серверы Roundcube в физических и инженерных факультетах университетов США и Канады.

Атаки идут как минимум с мая 2026 года. Под удар попали кафедры, связанные с национальной безопасностью, астрофизикой и физикой частиц. Как полагают в Proofpoint, злоумышленники заранее проверили цели и выбрали серверы с уязвимыми версиями Roundcube.

Схема начиналась с письма, которое выглядело как обычная рассылка или рекламное сообщение. Внутри находился код, эксплуатирующий CVE-2024-42009 (9.4 Critical) — уязвимость Roundcube, которая позволяет выполнять произвольные сценарии в браузере жертвы. Если получатель открывал письмо в уязвимой веб-почте, встроенный код запускался прямо в браузере.

После этого вредоносный сценарий загружал следующий модуль, который Proofpoint назвала IceCube. Он получал доступ к сеансу Roundcube, собирал имена пользователей, пароли, данные двухфакторной проверки, файлы cookie и сведения о браузере. Затем данные уходили на сервер управления.

На следующем этапе IceCube пытался закрепиться уже на самом почтовом сервере. Для этого группа использовала CVE-2025-49113 (9.9 Critical), уязвимость десериализации в Roundcube. Через неё злоумышленники устанавливали веб-оболочку SquareShell, которая позволяла удалённо выполнять команды на сервере.

Операторы UNK_MassTraction старались скрыть следы. Инструменты очищали локальное хранилище браузера, проверяли, не заражён ли узел повторно, меняли время изменения вредоносного файла под легитимный модуль Roundcube и удаляли признаки активности после того, как сеанс завершался.

Если установить веб-оболочку не удавалось, цепочка атаки переходила к запасному сценарию. Сервер загружал сценарий для Linux, который подбирал подходящий загрузчик под архитектуру системы и запускал бэкдор VShell прямо в памяти. VShell умеет открывать интерактивную командную оболочку и перенаправлять сетевой трафик, поэтому хорошо подходит, чтобы продвигаться внутрь университетской сети.

Proofpoint связывает UNK_MassTraction с китайской кибершпионской активностью. На такой вывод указывают инфраструктура, которую, вероятно, используют несколько связанных с Китаем групп, китайскоязычные фрагменты в ранних письмах, малое количество точечных атак и то, что группа использует VShell.

Главный вывод кампании выходит за рамки Roundcube. Почтовый сервер в такой схеме становится не хранилищем писем, а входной дверью в сеть. Поэтому защищать его нужно так же внимательно, как узлы удалённого доступа и другие внешние системы, через которые злоумышленники могут попасть внутрь организации.
 
Источник новости
www.securitylab.ru

Похожие темы