Hoạt động này bắt đầu vào năm 2023, được ESET đặt tên là Chiến dịch RoundPress. Cuộc tấn công được cho là do nhóm tin tặc được Chính phủ Nga hậu thuẫn, với tên gọi APT28 (còn được gọi là BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy và TA422)
“Mục tiêu cuối cùng là đánh cắp dữ liệu bí mật từ các tài khoản email cụ thể. Hầu hết nạn nhân là các cơ quan chính phủ và công ty quốc phòng ở Đông Âu, mặc dù chúng tôi đã quan sát thấy các chính phủ ở châu Phi, châu Âu và Nam Mỹ cũng bị nhắm mục tiêu”, nhà nghiên cứu Matthieu Faou của ESET cho biết.
Đây không phải là lần đầu tiên tin tặc APT28 bị liên đới đến các cuộc tấn công khai thác lỗ hổng trong phần mềm Webmail. Vào tháng 6/2023, hãng bảo mật Recorded Future (Mỹ) đã công bố chi tiết về việc các tác nhân đe dọa lợi dụng nhiều lỗ hổng trong Roundcube (CVE-2020-12641, CVE-2020-35730 và CVE-2021-44026) để tiến hành do thám và thu thập dữ liệu.
Kể từ đó, các nhóm tin tặc khác như Winter Vivern và UNC3707 (hay còn gọi là GreenCube) cũng nhắm vào các giải pháp email, bao gồm cả Roundcube trong nhiều chiến dịch khác nhau trong những năm qua. Mối liên hệ của Chiến dịch RoundPress với tin tặc APT28 bắt nguồn từ sự trùng lặp trong địa chỉ email được sử dụng để gửi email lừa đảo, đồng thời có sự tương đồng trong cách cấu hình một số máy chủ nhất định.
Phần lớn các mục tiêu của chiến dịch được thực hiện trong năm 2024 đã được phát hiện là các thực thể Chính phủ Ukraine, hoặc các công ty quốc phòng ở Bulgaria và Romania. Các mục tiêu khác bao gồm các tổ chức chính phủ, quân đội và giới học thuật ở Hy Lạp, Cameroon, Ecuador, Serbia và Síp.
Các cuộc tấn công bao gồm việc khai thác các lỗ hổng XSS trong Horde, MDaemon và Zimbra để thực thi mã JavaScript tùy ý. Cần lưu ý rằng lỗ hổng CVE-2023-43770 đã được Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) thêm vào danh mục Lỗ hổng khai thác đã biết (KEV) đã biết vào tháng 02/2024.
Trong khi các cuộc tấn công nhắm vào Horde (một lỗ hổng cũ không xác định đã được vá trong Horde Webmail 1.0 phát hành năm 2007), Roundcube (CVE-2023-43770) và Zimbra (CVE-2024-27443) đã tận dụng các lỗ hổng bảo mật đã biết và đã được vá, thì lỗ hổng MDaemon XSS được đánh giá là đã được tác nhân đe dọa sử dụng như một lỗ hổng zero-day. Được gán mã định danh CVE-2024-11182 (điểm CVSS: 5.3), lỗ hổng này đã được vá trong phiên bản 24.5.1 vào tháng 11 năm ngoái.
Tuy nhiên, để khai thác thành công, mục tiêu phải bị thuyết phục mở tin nhắn email trong cổng Webmail dễ bị tấn công, giả sử rằng nó có thể vượt qua bộ lọc email spam của phần mềm và vào hộp thư đến của người dùng. Nội dung của email là vô hại, vì mã độc kích hoạt lỗ hổng XSS nằm trong mã HTML của nội dung tin nhắn email và do đó, người dùng không dễ để có thể phát hiện.
Khai thác thành công dẫn đến việc thực hiện một payload JavaScript được ẩn giấu có tên là SpyPress, có khả năng đánh cắp thông tin đăng nhập Webmail và thu thập tin nhắn email, cũng như thông tin liên lạc từ hộp thư của nạn nhân. Phần mềm độc hại mặc dù không có cơ chế duy trì, được tải lại mỗi khi tin nhắn email có mồi nhử được mở.
Thông tin thu thập được sau đó được trích xuất thông qua yêu cầu HTTP POST đến máy chủ điều khiển và ra lệnh (C2) được mã hóa cứng. Một số biến thể của phần mềm độc hại cũng được phát hiện có thể ghi lại lịch sử đăng nhập, mã xác thực hai yếu tố (2FA) và thậm chí tạo mật khẩu ứng dụng cho MDAEMON, để duy trì quyền truy cập vào hộp thư ngay cả khi mật khẩu hoặc mã 2FA bị thay đổi.
“Trong hai năm qua, các máy chủ Webmail như Roundcube và Zimbra đã trở thành mục tiêu chính của một số nhóm gián điệp mạng như Sednit, GreenCube và Winter Vivern. Vì nhiều tổ chức không cập nhật máy chủ Webmail của họ và vì các lỗ hổng có thể được kích hoạt từ xa bằng cách gửi tin nhắn email, nên rất thuận tiện cho những kẻ tấn công nhắm vào các máy chủ như vậy để đánh cắp email”, Faou cho biết.