Akademik Casusluk: Çin Bağlantılı Hacker Grubu Roundcube Açıklarını Kullanarak Araştırmacıları Hedef Alıyor Windows

Akademik Casusluk: Çin Bağlantılı Hacker Grubu Roundcube Açıklarını Kullanarak Araştırmacıları Hedef Alıyor

Çin bağlantılı bir tehdit grubu, ABD ve Kanada üniversitelerindeki Roundcube webmail sunucularındaki açıkları kullanarak akademisyenlerin kimlik bilgi

Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor. Proofpoint araştırmacıları tarafından UNK_MassTraction olarak adlandırılan, Çin bağlantılı olduğu değerlendirilen bir tehdit kümesi, Mayıs ayından bu yana ABD ve Kanada üniversitelerindeki Roundcube webmail sunucularını hedef alıyor. Özellikle fizik, mühendislik, astrofizik, parçacık fiziği ve ulusal güvenlikle ilgili araştırma yapan bölümlerdeki yöneticiler, profesörler ve araştırmacılar bu saldırıların odak noktasında yer alıyor. Saldırganlar, güvenlik açığı bulunan Roundcube sunucularını kullanarak kimlik bilgilerini çalmakta ve hedef sistemlere kalıcı erişim sağlayan arka kapı yazılımları yerleştirmektedir.

Saldırı zinciri, ele geçirilmiş e-posta hesaplarından veya sahte alan adlarından gönderilen, içeriğinde genel bir tuzak bulunan kötü amaçlı e-postalarla başlıyor. Kullanıcı bu e-postayı güvenlik açığı bulunan bir Roundcube webmail istemcisinde açtığında, CVE-2024-42009 olarak izlenen bir siteler arası komut dosyası çalıştırma (XSS) açığı tetikleniyor. Bu açık, saldırganın JavaScript kodu çalıştırmasına olanak tanıyarak IceCube adlı bir yükü devreye sokuyor. Proofpoint araştırmacılarına göre IceCube, kullanıcı adları, parolalar, çerezler, iki faktörlü kimlik doğrulama (2FA) verileri ve tarayıcı bilgilerini toplayan tam donanımlı bir Roundcube bilgi hırsızıdır.

IceCube'un görevi bununla sınırlı değil. Malware, 'yardımcılar' kullanarak CVE-2025-49113 olarak izlenen bir Roundcube serileştirme açığını da istismar ediyor. Bu açık, saldırganın SquareShell adlı bir PHP web kabuğu yüklemesine olanak tanıyor. SquareShell, uzaktan kod çalıştırma (RCE) yetenekleri içeriyor. Eğer bu adım başarılı olursa, saldırgan e-posta sunucusunda tam kontrol elde ediyor. Başarısız olması durumunda ise malware, doğrudan bellekte çalışan VShell adlı başka bir yükü indiren bir kabuk betiği çalıştırıyor. VShell, interaktif kabuk erişimi ve port yönlendirme desteği sunan, Go dilinde yazılmış bir arka kapı yazılımıdır ve Çinli tehdit aktörleri tarafından sıkça kullanılmaktadır.

Proofpoint, UNK_MassTraction'ın Çin bağlantılı bir casusluk aktörü olduğunu değerlendiriyor. Bu değerlendirmeyi destekleyen kanıtlar arasında saldırılarda kullanılan altyapının daha önce birden fazla Çin bağlantılı aktörle ilişkilendirilmiş gizli bir VPS ağıyla örtüşmesi, daha önceki kimlik avı e-postalarında Çince dil öğelerinin bulunması ve internete açık e-posta sunucularını iç ağlara erişim için bir basamak olarak kullanma taktiğinin Çin saldırılarının karakteristik özelliklerinden olması yer alıyor. Ancak şirket, bu atfın sadece bir değerlendirme olduğunu ve yüksek güvenilirlik taşımadığını vurguluyor.

İlginç bir bulgu, saldırganların hedef seçiminde önceden keşif yapmış olmaları. UNK_MassTraction, görünüşe göre daha önce CVE-2024-42009 ve CVE-2025-49113 açıklarına karşı savunmasız olduğu belirlenen sunucuları seçmiş. Bu, saldırıların rastgele değil, hedefli ve planlı olduğunu gösteriyor. Bu durum, üniversiteler ve araştırma kurumlarının güvenlik açığı yönetimi süreçlerini gözden geçirmeleri gerektiğine işaret ediyor.

Bu saldırılara karşı alınması gereken en önemli önlem, Roundcube sistemlerinin güncel tutulmasıdır. Yöneticilerin, CVE-2024-42009 ve CVE-2025-49113 açıklarını kapatan en son güvenlik güncellemelerini hemen uygulamaları kritik önem taşıyor. Ayrıca, e-posta sunucuları, VPN'ler ve diğer uzaktan erişim noktalarıyla aynı özenle yönetilmeli ve düzenli güvenlik taramalarına tabi tutulmalıdır. Akademik kurumlar, özellikle hassas araştırma yapan bölümlerde, çalışanlarını kimlik avı ve sosyal mühendislik saldırılarına karşı eğitmeli ve çok faktörlü kimlik doğrulama kullanımını zorunlu hale getirmelidir.

Kaynak: bleepingcomputer.com

Paylaş: