Çin Bağlantılı Tehdit Grubu, Güvenlik Açığı Bulunan Roundcube Sunucularıyla Üniversitelere Sızıyor Siber Güvenlik

Çin Bağlantılı Tehdit Grubu, Güvenlik Açığı Bulunan Roundcube Sunucularıyla Üniversitelere Sızıyor

Çin bağlantılı bir tehdit grubu, ABD ve Kanada'daki üniversitelerin Roundcube e-posta sunucularındaki açıkları kullanarak kimlik bilgilerini çalıyor v

Proofpoint tarafından 7 Haziran'da yayınlanan yeni bir araştırmaya göre, Çin bağlantılı olduğu düşünülen bir tehdit grubu, ABD ve Kanada'daki üniversitelerin güvenlik açığı bulunan Roundcube e-posta sunucularını hedef alarak kimlik bilgilerini çalıyor ve ağlara erişim sağlıyor. UNK_MassTraction adı verilen bu grup, özellikle ulusal güvenlikle potansiyel bağlantılı fizik ve mühendislik bölümlerine odaklanıyor. Saldırganların, hedef kurumları güvenlik açığı bulunan Roundcube örneklerini tespit ettikten sonra seçtikleri değerlendiriliyor.

Kampanya, birden fazla bilinen Roundcube güvenlik açığını kullanarak e-posta sunucularını ele geçiriyor. Saldırganlar, yalnızca e-posta verilerini çalmak yerine, çalınan kimlik bilgilerini ve sunucu erişimini kurban ağlarına giriş yolu olarak kullanıyor. Bu yaklaşım, daha önce Çin bağlantılı aktörlerin güvenlik açığı bulunan uç cihazlar ve genel kullanıma açık uygulamalar aracılığıyla hedef kuruluşlara erişim sağladığı kampanyalarla benzerlik gösteriyor.

Proofpoint, UNK_MassTraction'ın CVE-2024-42009 olarak bilinen Roundcube'deki bir siteler arası betik çalıştırma (XSS) güvenlik açığını sömürmek için kötü amaçlı içerik içeren kimlik avı e-postaları kullandığını tespit etti. Bu açık sayesinde, JavaScript yükü (IceCube) kurbanın tarayıcısında çalıştırılarak kullanıcı adları, şifreler, çerezler ve kimlik doğrulama verileri çalındı. Ayrıca, saldırganlar sunucu tarafında CVE-2025-49113 güvenlik açığını kullanarak web shell yerleştirdi veya VShell arka kapısını belleğe yükledi.

Teknik Analiz

VShell, Go tabanlı uzaktan erişim aracı, etkileşimli kabuk erişimi ve port yönlendirme yetenekleri sunarak saldırganların ağ içinde daha derinlere ilerlemesini sağlıyor. Proofpoint, UNK_MassTraction'ın hedef seçimi, altyapı bağlantıları ve bazı kimlik avı e-postalarındaki Çince dil öğeleri nedeniyle casusluk odaklı operasyonlar yürüttüğünü değerlendiriyor. Araştırmacılar, e-posta sunucularının VPN yoğunlaştırıcılar ve diğer uzaktan erişim düğümleri kadar sıkı savunulması gerektiği uyarısında bulunuyor.

Paylaş: