Çin ile uyumlu olduğundan şüphelenilen bir tehdit kümesi, kimlik bilgilerini çalmak ve ağ erişimi kurmak için ABD ve Kanada'daki üniversitelerdeki savunmasız Roundcube posta sunucularından yararlanıyor.
Proofpoint'in 7 Haziran'da yayınlanan yeni araştırması, UNK_MassTraction adı altındaki etkinliği izledi ve saldırganların, ulusal güvenlikle potansiyel bağlantısı olan akademik kurumların fizik ve mühendislik bölümlerini hedef aldığını ortaya çıkardı.
Proofpoint, saldırganların muhtemelen bu kuruluşları savunmasız Roundcube örneklerini belirledikten sonra seçtiğini değerlendirdi.
Önemli Gelişmeler
Kampanya, yalnızca e-posta veri hırsızlığına odaklanmak yerine, kurban ağlarına giden bir yol olarak çalıntı kimlik bilgilerini ve sunucu erişimini kullanarak, posta sunucularını tehlikeye atmak için bilinen çok sayıda Roundcube güvenlik açığını kullandı.
Faaliyet, Çin'e bağlı operatörlerin hedeflenen kuruluşlara erişim sağlamak için internete yönelik altyapıdan yararlandığı, savunmasız uç cihazları ve halka açık uygulamaları içeren saldırılar da dahil olmak üzere önceki kampanyaları takip ediyor.
Ağ Giriş Noktası Olarak Kullanılan Roundcube Sunucuları
Proofpoint, UNK_MassTraction'ın, Roundcube'deki bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı olan CVE-2024-42009'dan yararlanmak için tasarlanmış kötü amaçlı içerik içeren kimlik avı e-postaları kullandığını tespit etti.
Detaylar ve Etkileri
Güvenlik açığı bulunan bir web posta istemcisinde çalıştırıldığında bu istismar, kurbanın tarayıcısında JavaScript'in çalıştırılmasına izin verdi.
Proofpoint tarafından IceCube olarak takip edilen JavaScript verisi, kullanıcı adlarını, şifreleri, çerezleri ve kimlik doğrulama verilerini çalmak için kullanıldı. Kötü amaçlı yazılım ayrıca kurbanların ortamı hakkında bilgi topladı ve çalınan oturum verilerini ele geçirmeye devam etmek için kullandı.
Firma, saldırganların enfeksiyon zinciri sırasında aşağıdakiler de dahil olmak üzere çeşitli teknikler kullandığını gözlemledi:
Kötü amaçlı JavaScript yükleri aracılığıyla kimlik bilgileri hırsızlığı
Sistem Güvenliği
Savunmasız Roundcube bileşenlerinin sunucu tarafında kullanılması
Uzaktan erişim için web kabuklarının dağıtımı
Teknik Analiz
VShell arka kapısının bellek tabanlı yürütülmesi
Saldırganlar Devamlı Erişim İçin VShell Kullanıyor
Uzmanların Görüşleri
UNK_MassTraction, Roundcube sunucularına erişim kazandıktan sonra bir web kabuğu dağıtmak veya belleğe VShell arka kapısını yüklemek için bir seri durumdan çıkarma güvenlik açığı olan CVE-2025-49113'ten yararlandı.
Proofpoint, halka açık bir Go tabanlı uzaktan erişim aracı olan VShell'in daha önce Windows, Linux ve macOS ortamlarında Çin'e uyumlu operatörler tarafından kullanıldığını söyledi. Kötü amaçlı yazılım, saldırganların ele geçirilen ağların derinliklerine inmesine yardımcı olabilecek etkileşimli kabuk erişimi ve bağlantı noktası yönlendirme yetenekleri sağlar.
Sonuç ve Değerlendirme
Firma, UNK_MassTraction'ın hedeflemesine, altyapı bağlantılarına ve bazı kimlik avı e-postalarında Çince eserler bulunmasına dayanarak muhtemelen casusluk odaklı operasyonlar yürüttüğünü değerlendirdi.
Proofpoint, "Kampanya, e-posta dağıtımının posta sunucularının ele geçirilmesini kolaylaştırabileceğini ve Çinli operatörlerin bunlara diğer uç cihazlar gibi davranmaya devam edeceğini hatırlatıyor" diye uyardı.
Gelecekte Ne Bekleniyor?
"Savunucular, ağlarındaki VPN yoğunlaştırıcılarını ve diğer uzaktan erişim düğümlerini olduğu gibi, ağlarının posta sunucularını da kapsamlı bir şekilde savunmaya öncelik vermelidir."