Şüpheli Çin Tehdit Grubu, Savunmasız Roundcube Sunucuları Aracılığıyla Üniversiteleri Hedef Alıyor Yazılım

Şüpheli Çin Tehdit Grubu, Savunmasız Roundcube Sunucuları Aracılığıyla Üniversiteleri Hedef Alıyor

Çin ile uyumlu olduğundan şüphelenilen bir tehdit kümesi, kimlik bilgilerini çalmak ve ağ erişimi kurmak için ABD ve Kanada'daki üniversitelerdeki sav...

Çin ile uyumlu olduğundan şüphelenilen bir tehdit kümesi, kimlik bilgilerini çalmak ve ağ erişimi kurmak için ABD ve Kanada'daki üniversitelerdeki savunmasız Roundcube posta sunucularından yararlanıyor.

Proofpoint'in 7 Haziran'da yayınlanan yeni araştırması, UNK_MassTraction adı altındaki etkinliği izledi ve saldırganların, ulusal güvenlikle potansiyel bağlantısı olan akademik kurumların fizik ve mühendislik bölümlerini hedef aldığını ortaya çıkardı.

Proofpoint, saldırganların muhtemelen bu kuruluşları savunmasız Roundcube örneklerini belirledikten sonra seçtiğini değerlendirdi.

Önemli Gelişmeler

Kampanya, yalnızca e-posta veri hırsızlığına odaklanmak yerine, kurban ağlarına giden bir yol olarak çalıntı kimlik bilgilerini ve sunucu erişimini kullanarak, posta sunucularını tehlikeye atmak için bilinen çok sayıda Roundcube güvenlik açığını kullandı.

Faaliyet, Çin'e bağlı operatörlerin hedeflenen kuruluşlara erişim sağlamak için internete yönelik altyapıdan yararlandığı, savunmasız uç cihazları ve halka açık uygulamaları içeren saldırılar da dahil olmak üzere önceki kampanyaları takip ediyor.

Ağ Giriş Noktası Olarak Kullanılan Roundcube Sunucuları

Proofpoint, UNK_MassTraction'ın, Roundcube'deki bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı olan CVE-2024-42009'dan yararlanmak için tasarlanmış kötü amaçlı içerik içeren kimlik avı e-postaları kullandığını tespit etti.

Detaylar ve Etkileri

Güvenlik açığı bulunan bir web posta istemcisinde çalıştırıldığında bu istismar, kurbanın tarayıcısında JavaScript'in çalıştırılmasına izin verdi.

Proofpoint tarafından IceCube olarak takip edilen JavaScript verisi, kullanıcı adlarını, şifreleri, çerezleri ve kimlik doğrulama verilerini çalmak için kullanıldı. Kötü amaçlı yazılım ayrıca kurbanların ortamı hakkında bilgi topladı ve çalınan oturum verilerini ele geçirmeye devam etmek için kullandı.

Firma, saldırganların enfeksiyon zinciri sırasında aşağıdakiler de dahil olmak üzere çeşitli teknikler kullandığını gözlemledi:

Kötü amaçlı JavaScript yükleri aracılığıyla kimlik bilgileri hırsızlığı

Sistem Güvenliği

Savunmasız Roundcube bileşenlerinin sunucu tarafında kullanılması

Uzaktan erişim için web kabuklarının dağıtımı

Teknik Analiz

VShell arka kapısının bellek tabanlı yürütülmesi

Saldırganlar Devamlı Erişim İçin VShell Kullanıyor

Uzmanların Görüşleri

UNK_MassTraction, Roundcube sunucularına erişim kazandıktan sonra bir web kabuğu dağıtmak veya belleğe VShell arka kapısını yüklemek için bir seri durumdan çıkarma güvenlik açığı olan CVE-2025-49113'ten yararlandı.

Proofpoint, halka açık bir Go tabanlı uzaktan erişim aracı olan VShell'in daha önce Windows, Linux ve macOS ortamlarında Çin'e uyumlu operatörler tarafından kullanıldığını söyledi. Kötü amaçlı yazılım, saldırganların ele geçirilen ağların derinliklerine inmesine yardımcı olabilecek etkileşimli kabuk erişimi ve bağlantı noktası yönlendirme yetenekleri sağlar.

Sonuç ve Değerlendirme

Firma, UNK_MassTraction'ın hedeflemesine, altyapı bağlantılarına ve bazı kimlik avı e-postalarında Çince eserler bulunmasına dayanarak muhtemelen casusluk odaklı operasyonlar yürüttüğünü değerlendirdi.

Proofpoint, "Kampanya, e-posta dağıtımının posta sunucularının ele geçirilmesini kolaylaştırabileceğini ve Çinli operatörlerin bunlara diğer uç cihazlar gibi davranmaya devam edeceğini hatırlatıyor" diye uyardı.

Gelecekte Ne Bekleniyor?

"Savunucular, ağlarındaki VPN yoğunlaştırıcılarını ve diğer uzaktan erişim düğümlerini olduğu gibi, ağlarının posta sunucularını da kapsamlı bir şekilde savunmaya öncelik vermelidir."

Paylaş: