Proofpoint tarafından yayınlanan yeni bir rapora göre, Çin ile bağlantılı olduğu düşünülen bir tehdit grubu, ABD ve Kanada'daki üniversitelerin güvenlik açığı bulunan Roundcube e-posta sunucularını hedef alarak kimlik bilgilerini çalıyor ve ağlara kalıcı erişim sağlıyor. UNK_MassTraction adı verilen bu grup, özellikle fizik ve mühendislik bölümlerine odaklanarak ulusal güvenlikle bağlantılı kurumları hedef alıyor. Saldırganlar, daha önce de Çin bağlantılı operatörler tarafından kullanılan yöntemlerle, internet üzerinden erişilebilen güvenlik açıklarını kullanarak ağlara sızıyor.
Proofpoint araştırmacıları, UNK_MassTraction'ın Roundcube'deki CVE-2024-42009 kodlu siteler arası betik çalıştırma (XSS) açığını kullanan kimlik avı e-postaları gönderdiğini tespit etti. Bu açık, güvenlik açığı bulunan bir web posta istemcisinde çalıştırıldığında, JavaScript'in kurbanın tarayıcısında çalışmasına olanak tanıyor. Proofpoint tarafından IceCube olarak izlenen bu JavaScript yükü, kullanıcı adları, parolalar, çerezler ve kimlik doğrulama verilerini çalmak için kullanılıyor. Ayrıca, kurbanın ortamı hakkında bilgi topluyor ve çalınan oturum verileriyle saldırıyı sürdürüyor.
Saldırı zincirinde kullanılan teknikler arasında şunlar yer alıyor: Kötü amaçlı JavaScript yükleriyle kimlik bilgisi hırsızlığı, güvenlik açığı bulunan Roundcube bileşenlerinin sunucu tarafında istismarı, uzaktan erişim için web shell dağıtımı ve VShell arka kapısının bellek tabanlı çalıştırılması. UNK_MassTraction, Roundcube sunucularına erişim sağladıktan sonra CVE-2025-49113 kodlu bir serileştirme açığını kullanarak web shell dağıtıyor veya VShell arka kapısını belleğe yüklüyor.
VShell, Proofpoint tarafından daha önce Çin bağlantılı operatörler tarafından Windows, Linux ve macOS ortamlarında kullanılan, Go dilinde yazılmış halka açık bir uzaktan erişim aracı. Bu kötü amaçlı yazılım, etkileşimli kabuk erişimi ve port yönlendirme yetenekleri sağlayarak saldırganların ağ içinde daha derinlere inmesine yardımcı oluyor. Proofpoint, UNK_MassTraction'ın hedefleme, altyapı bağlantıları ve bazı kimlik avı e-postalarındaki Çince dil izlerine dayanarak bu kampanyanın casusluk odaklı olduğunu değerlendiriyor.
Bu kampanya, e-posta teslimatının posta sunucularının ele geçirilmesine yol açabileceğini ve Çinli operatörlerin bu sunucuları diğer uç cihazlar gibi ele almaya devam edeceğini gösteriyor. Proofpoint, savunmacıları ağlarındaki posta sunucularını VPN yoğunlaştırıcıları ve diğer uzaktan erişim düğümleri kadar dikkatli bir şekilde korumaya çağırıyor. Üniversitelerin, özellikle ulusal güvenlikle ilgili bölümlerde, Roundcube ve benzeri e-posta sistemlerindeki güvenlik açıklarını kapatmak için acil önlem almaları gerekiyor.
Önemli Gelişmeler
Siber güvenlik uzmanları, kurumların e-posta sunucularını düzenli olarak güncellemelerini, çok faktörlü kimlik doğrulama kullanmalarını ve şüpheli e-postalara karşı kullanıcıları eğitmelerini öneriyor. Ayrıca, ağ izleme ve tehdit avcılığı çözümleriyle anormal aktivitelerin tespit edilmesi, bu tür saldırıların erken aşamada durdurulmasına yardımcı olabilir. UNK_MassTraction kampanyası, siber casusluğun giderek daha sofistike hale geldiğini ve akademik kurumların bu tehditlere karşı hazırlıklı olması gerektiğini bir kez daha gözler önüne seriyor.
Kaynak: infosecurity-magazine.com