Proofpoint güvenlik araştırmacıları, Mayıs ayından bu yana devam eden ve ABD ile Kanada'daki üniversiteleri hedef alan bir siber casusluk kampanyasını ortaya çıkardı. 'UNK_MassTraction' adı verilen bu tehdit kümesi, Roundcube webmail yazılımındaki güvenlik açıklarını kullanarak fizik ve mühendislik bölümlerindeki yöneticiler, profesörler ve araştırmacıların kimlik bilgilerini çalmayı amaçlıyor. Hedefler arasında astrofizik, parçacık fiziği ve ulusal güvenlikle ilgili araştırmalar yapan kuruluşlar da bulunuyor.
Saldırı, ele geçirilmiş e-posta hesapları veya sahte alan adlarından gönderilen kötü amaçlı e-postalarla başlıyor. E-postalar, genellikle akademik bir konuyu bahane eden genel içerikli tuzak mesajları içeriyor. Kurban, bu e-postayı güvenlik açığı bulunan bir Roundcube webmail istemcisinde açtığında, CVE-2024-42009 olarak izlenen bir siteler arası betik çalıştırma (XSS) açığı tetikleniyor. Bu açık, JavaScript kodunun kurbanın tarayıcısında çalışmasına izin vererek IceCube adlı bir yükü yüklüyor.
Proofpoint araştırmacılarına göre IceCube, 'tam özellikli bir Roundcube hırsızı' olarak tanımlanıyor. Bu yazılım, kullanıcı adları, parolalar, çerezler, iki faktörlü kimlik doğrulama (2FA) verileri ve tarayıcı bilgileri gibi hassas bilgileri topluyor. IceCube, daha sonra CVE-2025-49113 olarak izlenen bir Roundcube serileştirme açığını kullanmak için 'yardımcılar' adı verilen araçlar kullanıyor ve SquareShell adlı bir PHP web kabuğu yüklemeye çalışıyor. Bu web kabuğu, uzaktan kod yürütme yetenekleri içeriyor.
Sistem Güvenliği
Eğer SquareShell yüklemesi başarılı olursa, saldırgan e-posta sunucusunda uzaktan kod yürütebiliyor. Başarısız olması durumunda ise kötü amaçlı yazılım, doğrudan belleğe yüklenen VShell adlı başka bir yükü indiren bir kabuk betiği çalıştırıyor. VShell, Go dilinde yazılmış, etkileşimli kabuk erişimi ve bağlantı noktası yönlendirmeyi destekleyen ticari bir arka kapı yazılımı. Bu tür araçların Çinli tehdit aktörleri tarafından sıkça kullanıldığı biliniyor.
Proofpoint, UNK_MassTraction'ın Çin bağlantılı bir casusluk aktörü olduğunu değerlendiriyor. Bu değerlendirmenin dayanakları arasında, saldırılarda kullanılan altyapının daha önce Çin bağlantılı aktörlerle ilişkilendirilmiş gizli bir VPS ağıyla örtüşmesi ve daha önceki kimlik avı e-postalarında Çince dil yapıtlarının bulunması yer alıyor. Ayrıca, internete açık e-posta sunucularını hedef alarak iç ağlara erişim sağlama taktiği, Çin saldırılarının tipik bir özelliği olarak öne çıkıyor. Ancak Proofpoint, bu ilişkilendirmenin kesin olmadığını ve sadece bir değerlendirme olduğunu vurguluyor.
Kampanyanın hedef seçiminde dikkat çekici bir nokta, UNK_MassTraction'ın daha önce CVE-2024-42009 ve CVE-2025-49113 açıklarına karşı savunmasız olduğu tespit edilen sunucuları seçmiş olması. Bu, saldırganların saldırı öncesinde keşif faaliyeti yürüttüğünü gösteriyor. Roundcube sistem yöneticilerine, bu iki güvenlik açığını gideren en son güvenlik güncellemelerini uygulamaları ve e-posta sunucularına VPN'ler ve diğer uzaktan erişim düğümleri kadar özen göstermeleri tavsiye ediliyor.
Kaynak: bleepingcomputer.com