Обнаружена кампания по взлому почтовых серверов Roundcube в университетах США и Канады.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Иногда для атаки на университетскую сеть хватает одного открытого письма. Специалисты Proofpoint раскрыли кампанию UNK_MassTraction, в которой предположительно связанная с Китаем группа взламывала почтовые серверы Roundcube в физических и инженерных факультетах университетов США и Канады.
Атаки идут как минимум с мая 2026 года. Под удар попали кафедры, связанные с национальной безопасностью, астрофизикой и физикой частиц. Как полагают в Proofpoint, злоумышленники заранее проверили цели и выбрали серверы с уязвимыми версиями Roundcube.
Схема начиналась с письма, которое выглядело как обычная рассылка или рекламное сообщение. Внутри находился код, эксплуатирующий CVE-2024-42009 (9.4 Critical) — уязвимость Roundcube, которая позволяет выполнять произвольные сценарии в браузере жертвы. Если получатель открывал письмо в уязвимой веб-почте, встроенный код запускался прямо в браузере.
После этого вредоносный сценарий загружал следующий модуль, который Proofpoint назвала IceCube. Он получал доступ к сеансу Roundcube, собирал имена пользователей, пароли, данные двухфакторной проверки, файлы cookie и сведения о браузере. Затем данные уходили на сервер управления.
На следующем этапе IceCube пытался закрепиться уже на самом почтовом сервере. Для этого группа использовала CVE-2025-49113 (9.9 Critical), уязвимость десериализации в Roundcube. Через неё злоумышленники устанавливали веб-оболочку SquareShell, которая позволяла удалённо выполнять команды на сервере.
Операторы UNK_MassTraction старались скрыть следы. Инструменты очищали локальное хранилище браузера, проверяли, не заражён ли узел повторно, меняли время изменения вредоносного файла под легитимный модуль Roundcube и удаляли признаки активности после того, как сеанс завершался.
Если установить веб-оболочку не удавалось, цепочка атаки переходила к запасному сценарию. Сервер загружал сценарий для Linux, который подбирал подходящий загрузчик под архитектуру системы и запускал бэкдор VShell прямо в памяти. VShell умеет открывать интерактивную командную оболочку и перенаправлять сетевой трафик, поэтому хорошо подходит, чтобы продвигаться внутрь университетской сети.
Proofpoint связывает UNK_MassTraction с китайской кибершпионской активностью. На такой вывод указывают инфраструктура, которую, вероятно, используют несколько связанных с Китаем групп, китайскоязычные фрагменты в ранних письмах, малое количество точечных атак и то, что группа использует VShell.
Главный вывод кампании выходит за рамки Roundcube. Почтовый сервер в такой схеме становится не хранилищем писем, а входной дверью в сеть. Поэтому защищать его нужно так же внимательно, как узлы удалённого доступа и другие внешние системы, через которые злоумышленники могут попасть внутрь организации.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Иногда для атаки на университетскую сеть хватает одного открытого письма. Специалисты Proofpoint раскрыли кампанию UNK_MassTraction, в которой предположительно связанная с Китаем группа взламывала почтовые серверы Roundcube в физических и инженерных факультетах университетов США и Канады.
Атаки идут как минимум с мая 2026 года. Под удар попали кафедры, связанные с национальной безопасностью, астрофизикой и физикой частиц. Как полагают в Proofpoint, злоумышленники заранее проверили цели и выбрали серверы с уязвимыми версиями Roundcube.
Схема начиналась с письма, которое выглядело как обычная рассылка или рекламное сообщение. Внутри находился код, эксплуатирующий CVE-2024-42009 (9.4 Critical) — уязвимость Roundcube, которая позволяет выполнять произвольные сценарии в браузере жертвы. Если получатель открывал письмо в уязвимой веб-почте, встроенный код запускался прямо в браузере.
После этого вредоносный сценарий загружал следующий модуль, который Proofpoint назвала IceCube. Он получал доступ к сеансу Roundcube, собирал имена пользователей, пароли, данные двухфакторной проверки, файлы cookie и сведения о браузере. Затем данные уходили на сервер управления.
На следующем этапе IceCube пытался закрепиться уже на самом почтовом сервере. Для этого группа использовала CVE-2025-49113 (9.9 Critical), уязвимость десериализации в Roundcube. Через неё злоумышленники устанавливали веб-оболочку SquareShell, которая позволяла удалённо выполнять команды на сервере.
Операторы UNK_MassTraction старались скрыть следы. Инструменты очищали локальное хранилище браузера, проверяли, не заражён ли узел повторно, меняли время изменения вредоносного файла под легитимный модуль Roundcube и удаляли признаки активности после того, как сеанс завершался.
Если установить веб-оболочку не удавалось, цепочка атаки переходила к запасному сценарию. Сервер загружал сценарий для Linux, который подбирал подходящий загрузчик под архитектуру системы и запускал бэкдор VShell прямо в памяти. VShell умеет открывать интерактивную командную оболочку и перенаправлять сетевой трафик, поэтому хорошо подходит, чтобы продвигаться внутрь университетской сети.
Proofpoint связывает UNK_MassTraction с китайской кибершпионской активностью. На такой вывод указывают инфраструктура, которую, вероятно, используют несколько связанных с Китаем групп, китайскоязычные фрагменты в ранних письмах, малое количество точечных атак и то, что группа использует VShell.
Главный вывод кампании выходит за рамки Roundcube. Почтовый сервер в такой схеме становится не хранилищем писем, а входной дверью в сеть. Поэтому защищать его нужно так же внимательно, как узлы удалённого доступа и другие внешние системы, через которые злоумышленники могут попасть внутрь организации.
- Источник новости
- www.securitylab.ru