疑似俄罗斯对运行 Roundcube、Horde、MDaemon 和 Zimbra 的组织发起 XSS 攻击。

在发现针对运行 Roundcube、Horde、MDaemon 和 Zimbra 等 Web 邮件客户端的组织发起的跨站点脚本攻击后，CISO 需要确保 Web 电子邮件客户端和浏览器保持最新状态。

今天，ESET 的研究人员发出了这一警报，他们在发现乌克兰、罗马尼亚和保加利亚的政府和国防组织遭受攻击后，认为俄罗斯的威胁行为者正在攻击支持乌克兰的实体。

其目标是窃取网络邮件凭证，并从受害者邮箱中窃取联系人和电子邮件信息。许多目标公司都生产苏联时代的武器。

鱼叉式网络钓鱼攻击会导致在网络邮件客户端中执行恶意 JavaScript 代码，因此受害者帐户中的任何内容都可以被读取和窃取。

26分3秒中的1秒音量0%

 

该恶意软件还会植入名为 SpyPress.HORDE、SpyPress.MDAEMON、SpyPress.ROUNDCUBE 和 SpyPress.ZIMBRA（具体取决于受害者的电子邮件系统）的植入程序，这些植入程序可以窃取登录凭据、泄露地址簿、联系人和登录历史记录。SpyPress.MDAEMON 能够绕过双因素身份验证保护；它会泄露双因素身份验证密钥，并创建应用程序密码，使攻击者能够从邮件应用程序访问邮箱。

该恶意软件专门用于逃避垃圾邮件过滤器。

鱼叉式网络钓鱼邮件中使用的标题包括：“乌克兰安全局逮捕了一名在哈尔科夫为敌方军事情报部门工作的银行家”和“普京寻求特朗普接受俄罗斯在双边关系中的条件”。

虽然大多数受害者是东欧的政府实体和国防公司，但研究人员也发现欧洲其他地区、非洲和南美洲的政府雇员也受到了攻击。

该嫌疑威胁行为者被 ESET 称为 Sednit，安全社区更熟悉的名字是Fancy Bear 或 APT28 。

ESET 将该活动称为“Operation RoundPress” 。ESET 研究员 Matthieu Faou 表示，该活动利用了 Roundcube 系统未修补的漏洞CVE-2023-43770 。他补充道，MDaemon 漏洞CVE-2024-11182 （现已修补）是一个零日漏洞，而 Horde、Roundcube 和 Zimbra 的漏洞则已为人所知并已修补。

国际事件响应公司 Cypfer 的首席运营官 Ed Dubrovsky 告诉 CSO，电子邮件客户端是一种非常常见的攻击媒介，因为许多客户端不仅处理电子邮件，还会存储整个邮箱、附件（非结构化文件）以及类似机密信息的本地缓存副本。“它们是一个非常有吸引力的目标，因为在很多情况下，客户端中都存在邮件系统的缓存凭据。”

最后，但同样重要的是，访问客户端可以提供发送电子邮件的权限，这可能会导致相邻帐户的泄露，例如可能受发件人影响的人。”

他补充说，使用 Microsoft Outlook 等领先的电子邮件客户端并不能消除应用程序的所有风险，而只是提供了一个更结构化、更安全的开发环境。

另一方面，他说，较小的电子邮件客户端可以提供更好的隐私，并且在功能方面可能不那么笨重，但它们的功能也可能较少，并且可能增加安全漏洞的风险，因为它们的开发团队通常较小并且使用不太复杂的工具来提供安全保障。

他补充说，对于 CISO 来说，需要考虑的一点是：许多较小的商业或开源客户不会收集个人信息，这使得他们更加注重隐私。

“就这个特定的漏洞而言，”杜布罗夫斯基说，“我们必须记住，电子邮件客户端不是安全控制，无论客户端类型如何，都需要在端点进行额外的控制以提供额外的安全层。”

他建议首席信息安全官评估其电子邮件供应商，尤其是在存在供应商管理程序的企业级供应商，以确保其符合安全层的要求。“一旦做出决定，重要的是了解开发人员将如何解决漏洞，以及补丁将以多快的速度提供部署，”他补充道。

最后，他说，考虑到这些应用程序所包含的数据的敏感性以及来自外部各方的潜在风险，确保这些应用程序周围有强大的多层安全性。

ESET 的 Faou 表示：“过去两年，Roundcube 和 Zimbra 等网络邮件服务器已成为 Sednit、GreenCube 和 Winter Vivern 等多个间谍组织的主要攻击目标。由于许多组织没有及时更新其网络邮件服务器，而且这些漏洞可以通过发送电子邮件远程触发，因此攻击者可以非常方便地利用此类服务器进行电子邮件窃取。”

他表示，对于首席信息安全官 (CISO) 来说，最重要的是保持 Webmail 应用程序的更新。“虽然我们在研究中确实提到了零日漏洞的使用，但在我们分析的大多数事件中，只使用了已知漏洞，这些漏洞已经修补了几个月。另一种强化方法，虽然对大多数组织来说可能过于极端，是禁止电子邮件中包含 HTML 内容，只显示原始文本。然而，这会阻止使用某些功能，例如文本格式（粗体、斜体等）或包含超链接。”

他说，Webmail 可以理解为一个在浏览器中显示不受信任 HTML 内容的网站。虽然大多数 Webmail 系统都会对内容进行清理，以删除可能执行 JavaScript 代码的有害 HTML 元素，但 ESET 的研究表明，这些清理程序并非完美无缺，攻击者能够绕过它们。因此，他表示，通过发送特制电子邮件，攻击者能够在目标浏览器的上下文中执行任意 JavaScript 代码。他指出，虽然这不会导致计算机被入侵，但在浏览器上下文中执行 JavaScript 代码可以窃取邮箱中的信息，例如电子邮件或联系人列表。