Активная APT-группа, связанная с российской разведкой, была уличена в использовании брешей в безопасности программного обеспечения веб-почты Roundcube с открытым исходным кодом для слежки за организациями в Украине, в том числе государственными учреждениями и военными структурами, связанными с авиационной инфраструктурой. Источник: Security Week
Согласно сообщению компании Recorded Future, специализирующейся на анализе угроз, заражения серверов Roundcube используются для запуска сценариев разведки и эксфильтрации, перенаправления входящих электронных писем и сбора файлов cookie сеанса, информации о пользователях и адресных книг.
Recorded Future объединилась с украинской группой реагирования на компьютерные инциденты (CERT-UA), чтобы задокументировать взлом со стороны подразделения ГРУ.
«Кампания использовала новости о войне России против Украины, чтобы побудить получателей открывать электронные письма с вложениями, что немедленно скомпрометировало уязвимые серверы Roundcube без использования вложения», — пояснила Recorded Future.
Компания заявила, что вложение содержало код JavaScript, который выполнял дополнительные полезные нагрузки JavaScript из инфраструктуры хакерской группы. «Кампания продемонстрировала высокий уровень готовности, быстро превратив новостной контент в приманку для использования получателей. Адресные фишинговые электронные письма содержали новостные темы, связанные с Украиной, с темами и содержанием, отражающими законные медиа-источники», — говорится в сообщении Recorded Future.
Связанную с ГРУ группу, которая действует как минимум с ноября 2021 года, обвиняют в предыдущем использовании уязвимостей нулевого дня во флагманском программном обеспечении Microsoft Outlook. Согласно общедоступным документам, группа занимается цифровым шпионажем за организациями в Украине и по всей Европе, в первую очередь среди государственных и военных/оборонных организаций.
Напомним, ранее сообщалось, что ЕС инвестирует миллиарды евро в кибербезопасность.
Также мы информировали, что спецслужбы РФ планируют увеличить киберактивность, направленную на деградацию критической украинской инфраструктуры и государственных служб, а также на сбор иностранной разведывательной информации, полезной российскому правительству, от организаций, участвующих в военных действиях.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet