Çin Bağlantılı Hackerlar Roundcube Açığını Kullanarak Akademisyenleri Hedef Alıyor Siber Güvenlik

Çin Bağlantılı Hackerlar Roundcube Açığını Kullanarak Akademisyenleri Hedef Alıyor

Çin bağlantılı bir tehdit grubu, Roundcube webmail istemcisindeki açıkları kullanarak ABD ve Kanada'daki üniversitelerin fizik ve mühendislik bölümler

Proofpoint güvenlik araştırmacıları, Çin bağlantılı olduğu değerlendirilen 'UNK_MassTraction' adlı yeni bir tehdit kümesinin, Roundcube webmail istemcisindeki iki güvenlik açığını kullanarak ABD ve Kanada'daki üniversiteleri hedef aldığını tespit etti. Mayıs 2024'ten bu yana süren kampanya, özellikle fizik ve mühendislik bölümleri ile astrofizik, parçacık fiziği ve ulusal güvenlikle ilgili araştırma yapan kurumları hedefliyor. Saldırganlar, güvenlik açığı bulunan Roundcube sunucularını kullanarak akademik araştırmacıların e-posta kimlik bilgilerini çalıyor ve arka kapı yazılımları yerleştiriyor.

Saldırı zinciri, saldırganların ele geçirilmiş e-posta hesapları veya sahte alan adları üzerinden gönderdiği kimlik avı e-postalarıyla başlıyor. Bu e-postalar, hedefin Roundcube webmail istemcisinde açıldığında, CVE-2024-42009 olarak izlenen bir siteler arası betik çalıştırma (XSS) açığını tetikliyor. Bu açık, kurbanın tarayıcısında JavaScript kodu çalıştırarak 'IceCube' adlı bir yükü indiriyor. Proofpoint, IceCube'u 'tam donanımlı bir Roundcube hırsızı' olarak tanımlıyor; bu yazılım kullanıcı adları, parolalar, çerezler, iki faktörlü kimlik doğrulama (2FA) verileri ve tarayıcı bilgilerini topluyor.

IceCube, topladığı verileri kullanarak Roundcube üzerinde ikinci bir güvenlik açığı olan CVE-2025-49113'ü (serileştirme sorunu) istismar ediyor. Bu açık sayesinde 'SquareShell' adlı bir PHP web kabuğu yükleniyor ve saldırgana posta sunucusunda uzaktan kod çalıştırma (RCE) yeteneği kazandırıyor. Eğer bu adım başarısız olursa, IceCube doğrudan bellekte çalışan 'VShell' adlı bir arka kapıyı devreye sokuyor. VShell, Go dilinde yazılmış bir ticari arka kapı olup etkileşimli kabuk erişimi ve port yönlendirme özellikleri sunuyor. Bu araç, daha önce Çin bağlantılı tehdit aktörleri tarafından da kullanılmıştı.

Nasıl Önlem Alınmalı?

Proofpoint, UNK_MassTraction'ın Çin bağlantılı bir casusluk aktörü olduğu değerlendirmesini yapıyor. Bu değerlendirmenin dayanakları arasında, saldırılarda kullanılan altyapının daha önce Çin bağlantılı aktörlerle ilişkilendirilmiş gizli bir VPS ağıyla örtüşmesi ve ilk kimlik avı e-postalarında Çince dil öğelerinin bulunması yer alıyor. Ayrıca, internete açık posta sunucularını hedef alarak iç ağlara sızma taktiği, Çinli saldırganların tipik bir yöntemi olarak biliniyor. Bununla birlikte Proofpoint, bu atfın yüksek güvenilirlikte olmadığını ve sadece bir değerlendirme olduğunu vurguluyor.

Kampanyanın ilginç bir yönü, UNK_MassTraction'ın hedef seçiminde önceden keşif yapmış olması. Saldırganlar, yalnızca CVE-2024-42009 ve CVE-2025-49113 açıklarına karşı savunmasız olduğu tespit edilen Roundcube sunucularını hedef almış. Bu, saldırganların hedef ağları taradığını ve güvenlik açığı bulunan sistemleri belirlediğini gösteriyor. Proofpoint raporu, bu tür saldırılara karşı Roundcube yöneticilerinin en son güvenlik güncellemelerini uygulaması ve posta sunucularına VPN gibi uzaktan erişim düğümleriyle aynı özeni göstermesi gerektiğini vurguluyor.

Bu saldırı, akademik kurumların siber güvenlik tehditlerine karşı ne kadar kırılgan olduğunu bir kez daha ortaya koyuyor. Özellikle hassas araştırmalar yapan üniversitelerin, e-posta altyapılarını güncel tutmaları ve çok faktörlü kimlik doğrulama gibi ek güvenlik önlemleri almaları hayati önem taşıyor. Roundcube kullanıcıları, bilinmeyen kaynaklardan gelen e-postalardaki bağlantılara tıklamamalı ve yöneticiler, güvenlik açıklarını kapatmak için derhal yama uygulamalıdır. Ayrıca, posta sunucularının düzenli olarak güvenlik taramasından geçirilmesi ve olağandışı etkinliklerin izlenmesi öneriliyor.

Kaynak: bleepingcomputer.com

Paylaş: