نفوذگران در حال اجرای کمپین جهانی جاسوسی سایبری با نام RoundPress هستند که طی آن با اکسپلویت از آسیبپذیریهای روز صفر و روز n شناخته شده در سرورهای webmail، اقدام به سرقت ایمیل از نهادهای دولتی با ارزش بالا میکنند.
محققان شرکت ESET، این حملات را با اطمینان متوسط به گروه هکری تحت حمایت روسیه موسوم به APT28 (با نامهای دیگر Sednit، Fancy Bear، Forest Blizzard یا Sofacy) نسبت دادند. این کمپین که از سال 2023 آغاز شده، در سال 2024 با اتخاذ اکسپلویتهای جدید در محصولاتی شامل webmailهای Roundcube، Horde، MDaemon و Zimbra ادامه یافت. حملات با ارسال ایمیل فیشینگ نیزهای آغاز میشود که به رویدادهای خبری یا سیاسی روز اشاره دارد و برای افزایش اعتبار، حاوی گزیدههایی از مقالات خبری است. در بدنه HTML ایمیل، پیلود مخرب JavaScript قرار داده شده که آسیبپذیری XSS در مرورگر webmail قربانی را هدف قرار میدهد. تنها باز کردن ایمیل توسط قربانی به منظور اجرای کد مخرب کافی است و نیازی به کلیک، ورود داده یا تغییر مسیر وجود ندارد. در عملیات RoundPress، نفوذگران از آسیبپذیریهای XSS زیر در محصولات webmail محبوب برای تزریق اسکریپتهای مخرب سواستفاده کردند:
- CVE-2020-35730، CVE-2023-43770 در Roundcube
- CVE-2024-11182 در MDaemon
- CVE-2024-27443 در Zimbra.
https://www.welivesecurity.com/en/eset-research/operation-roundpress/
