El grupo APT28, vinculado a Rusia, se le atribuyó una operación de ciberespionaje dirigida a servidores de correo web como Roundcube, Horde, MDaemon y Zimbra a través de vulnerabilidades de secuencias de comandos entre sitios (XSS), incluido un Zero-Day en MDaemon, según nuevos hallazgos de ESET.
La actividad, que comenzó en 2023, fue denominada Operación RoundPress por la empresa eslovaca de ciberseguridad. Se ha atribuido con cierta certeza al grupo de ciberdelincuentes rusos patrocinado por el estado, identificado como APT28, también conocido como BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422.
«El objetivo final de esta operación es robar datos confidenciales de cuentas de correo electrónico específicas«, declaró Matthieu Faou, investigador de ESET, en un informe compartido con The Hacker News. «La mayoría de las víctimas son entidades gubernamentales y empresas de defensa de Europa del Este, aunque también hemos observado que gobiernos de África, Europa y Sudamérica también han sido atacados».
Esta no es la primera vez que APT28 se vincula con ataques que explotan vulnerabilidades en el software de correo web. En junio de 2023, Recorded Future detalló cómo el actor de amenazas abusó de múltiples vulnerabilidades en Roundcube (CVE-2020-12641, CVE-2020-35730 y CVE-2021-44026) para realizar tareas de reconocimiento y recopilación de datos.
Desde entonces, otros actores de amenazas como Winter Vivern y UNC3707 (también conocido como GreenCube) han atacado plataformas de correo electrónico, incluyendo Roundcube, en diversas campañas a lo largo de los años. Los vínculos de la Operación RoundPress con APT28 se deben a coincidencias en las direcciones de correo electrónico utilizadas para enviar los correos de phishing selectivo y a similitudes en la configuración de ciertos servidores.
Se ha descubierto que la mayoría de los objetivos de la campaña en 2024 son entidades gubernamentales ucranianas o empresas de defensa en Bulgaria y Rumanía, algunas de las cuales producen armas de la era soviética para su envío a Ucrania. Otros objetivos incluyen organizaciones gubernamentales, militares y académicas en Grecia, Camerún, Ecuador, Serbia y Chipre.
La información recopilada se exfiltra posteriormente mediante una solicitud HTTP POST a un servidor de comando y control (C2) codificado. También se ha descubierto que ciertas variantes del malware capturan el historial de inicio de sesión, códigos de autenticación de dos factores (2FA) e incluso crean una contraseña de aplicación para que MDAEMON conserve el acceso al buzón incluso si se cambia la contraseña o el código de 2FA.
«En los últimos dos años, servidores de correo web como Roundcube y Zimbra han sido un objetivo importante para varios grupos de espionaje como Sednit, GreenCube y Winter Vivern«, afirmó Faou. «Dado que muchas organizaciones no mantienen sus servidores de correo web actualizados y que las vulnerabilidades pueden activarse remotamente mediante el envío de un correo electrónico, resulta muy conveniente para los actores, atacar dichos servidores para el robo de correo electrónico».
Fuente
Ciberprisma - alianza por la ciberseguridad 