Üniversitelere Yönelik Siber Tehdit: Çin Bağlantılı Grup Roundcube Sunucularını Hedef Alıyor Windows

Üniversitelere Yönelik Siber Tehdit: Çin Bağlantılı Grup Roundcube Sunucularını Hedef Alıyor

Çin bağlantılı bir tehdit aktörü, ABD ve Kanada'daki üniversitelerin Roundcube e-posta sunucularındaki açıkları sömürerek kimlik bilgilerini çalıyor v

Proofpoint tarafından 7 Haziran'da yayınlanan yeni bir araştırma, UNK_MassTraction olarak adlandırılan ve Çin ile bağlantılı olduğu düşünülen bir tehdit grubunun, ABD ve Kanada'daki üniversitelerin Roundcube e-posta sunucularındaki güvenlik açıklarını hedef aldığını ortaya koydu. Saldırganlar, özellikle ulusal güvenlikle potansiyel bağlantıları olan fizik ve mühendislik bölümlerine odaklanıyor. Proofpoint, saldırganların bu kuruluşları, savunmasız Roundcube örneklerini tespit ettikten sonra seçtiklerini değerlendiriyor.

Kampanya, Roundcube'deki birden fazla bilinen güvenlik açığını kullanarak e-posta sunucularını ele geçirmeyi amaçlıyor. Saldırganlar, yalnızca e-posta verilerini çalmak yerine, çalıntı kimlik bilgileri ve sunucu erişimini kurban ağlarına girmek için bir yol olarak kullanıyor. Bu faaliyet, daha önce Çin bağlantılı operatörlerin internet üzerinden erişilebilen altyapıyı kullanarak hedef kuruluşlara erişim sağladığı kampanyaları takip ediyor. Önceki saldırılarda savunmasız uç cihazlar ve genel kullanıma açık uygulamalar hedef alınmıştı.

Proofpoint, UNK_MassTraction'ın Roundcube'deki bir XSS güvenlik açığı olan CVE-2024-42009'u sömürmek için tasarlanmış kötü amaçlı içerik içeren kimlik avı e-postaları kullandığını tespit etti. Savunmasız bir web posta istemcisinde çalıştırıldığında, bu açık JavaScript'in kurbanın tarayıcısında çalışmasına izin veriyor. Proofpoint tarafından IceCube olarak izlenen JavaScript yükü, kullanıcı adları, şifreler, çerezler ve kimlik doğrulama verilerini çalmak için kullanılıyor. Kötü amaçlı yazılım ayrıca kurbanın ortamı hakkında bilgi topluyor ve çalınan oturum verilerini kullanarak saldırıyı sürdürüyor.

Sistem Güvenliği

Sunuculara erişim sağladıktan sonra UNK_MassTraction, CVE-2025-49113 adlı bir serileştirme güvenlik açığını sömürerek bir web shell dağıtıyor veya VShell backdoor'u belleğe yüklüyor. Proofpoint, VShell'in daha önce Çin bağlantılı operatörler tarafından Windows, Linux ve macOS ortamlarında kullanıldığını belirtiyor. Bu kötü amaçlı yazılım, etkileşimli shell erişimi ve port yönlendirme yetenekleri sağlayarak saldırganların ele geçirilen ağlarda daha derinlere ilerlemesine yardımcı oluyor. Proofpoint, UNK_MassTraction'ın hedefleme, altyapı bağlantıları ve bazı kimlik avı e-postalarında Çince dil öğelerinin bulunması nedeniyle casusluk odaklı operasyonlar yürüttüğünü değerlendiriyor.

Paylaş: