Çin Bağlantılı Tehdit Grubu, Üniversiteleri Roundcube Açıklarıyla Hedef Alıyor Siber Güvenlik

Çin Bağlantılı Tehdit Grubu, Üniversiteleri Roundcube Açıklarıyla Hedef Alıyor

Çin bağlantılı UNK_MassTraction grubu, üniversitelerdeki Roundcube e-posta sunucularını hedef alarak kimlik avı ve ağ sızması gerçekleştiriyor.

Proofpoint araştırmacıları, Çin ile bağlantılı olduğu değerlendirilen UNK_MassTraction adlı bir tehdit kümesinin, ABD ve Kanada'daki üniversitelerin Roundcube e-posta sunucularını hedef alan bir kampanya yürüttüğünü ortaya çıkardı. 7 Haziran'da yayınlanan rapora göre saldırganlar, fizik ve mühendislik bölümlerine odaklanarak ulusal güvenlikle ilgili potansiyel bağlantıları hedef alıyor. Kampanya, bilinen Roundcube güvenlik açıklarını kullanarak e-posta sunucularına sızıyor ve çalınan kimlik bilgileri ile sunucu erişimini, yalnızca e-posta verilerini çalmaktan ziyade ağlara giriş yolu olarak kullanıyor.

UNK_MassTraction, daha önce Çin bağlantılı operatörlerin savunmasız uç cihazlar ve kamuya açık uygulamalar aracılığıyla hedef kuruluşlara eriştiği kampanyaların bir devamı niteliğinde. Proofpoint, saldırganların hedef kuruluşları seçerken güvenlik açığı bulunan Roundcube örneklerini tespit ettikten sonra seçtiklerini değerlendiriyor. Bu yaklaşım, e-posta sunucularını diğer uç cihazlar gibi ele alarak ağa sızma stratejisini yansıtıyor.

Saldırganlar, CVE-2024-42009 olarak izlenen bir Roundcube siteler arası betik çalıştırma (XSS) açığını kullanarak kötü amaçlı içerik içeren kimlik avı e-postaları gönderdi. Bu açık, web posta istemcisinde yürütüldüğünde JavaScript'in kurbanın tarayıcısında çalışmasına izin veriyor. Proofpoint tarafından IceCube olarak izlenen JavaScript yükü, kullanıcı adları, parolalar, çerezler ve kimlik doğrulama verilerini çalmak için kullanıldı. Kötü amaçlı yazılım ayrıca kurbanların ortamı hakkında bilgi topladı ve çalınan oturum verilerini kullanarak sızmayı sürdürdü.

Proofpoint, enfeksiyon zinciri sırasında saldırganların çeşitli teknikler kullandığını gözlemledi: kötü amaçlı JavaScript yükleri aracılığıyla kimlik bilgisi hırsızlığı, savunmasız Roundcube bileşenlerinin sunucu tarafından istismarı, uzaktan erişim için web shell'lerin dağıtımı ve VShell backdoor'un bellek tabanlı yürütülmesi. Bu teknikler, saldırganların Roundcube sunucularına eriştikten sonra daha derinlere inmesine olanak tanıyor.

Detaylar ve Etkileri

Roundcube sunucularına erişim sağladıktan sonra UNK_MassTraction, CVE-2025-49113 olarak izlenen bir deserialization açığını kullanarak web shell dağıttı veya VShell backdoor'u belleğe yükledi. Proofpoint, daha önce Çin bağlantılı operatörler tarafından Windows, Linux ve macOS ortamlarında kullanılan VShell'in, Go tabanlı, genel olarak erişilebilir bir uzaktan erişim aracı olduğunu belirtiyor. Kötü amaçlı yazılım, etkileşimli kabuk erişimi ve port yönlendirme yetenekleri sağlayarak saldırganların ele geçirilen ağlarda daha derinlere ilerlemesine yardımcı oluyor.

Proofpoint, UNK_MassTraction'ın hedefleme, altyapı bağlantıları ve bazı kimlik avı e-postalarında Çince dil izlerinin bulunması nedeniyle casusluk odaklı operasyonlar yürüttüğünü değerlendiriyor. Raporda, 'Kampanya, e-posta teslimatının posta sunucularının güvenliğini ihlal edebileceğini ve Çinli operatörlerin onları diğer uç cihazlar gibi ele almaya devam edeceğini hatırlatıyor' uyarısı yapılıyor. Savunmacıların, ağlarındaki VPN yoğunlaştırıcıları ve diğer uzaktan erişim düğümleri kadar posta sunucularını da kapsamlı bir şekilde korumaları gerektiği vurgulanıyor.

Kaynak: infosecurity-magazine.com

Paylaş: