Исследователи Recorded Future и CERT-UA сообщают, что русскоязычная хак-группа APT28 (она же Fancy Bear, BlueDelta, Sednit и Sofacy) взломала почтовые серверы Roundcube, принадлежащие нескольким украинским организациям, в том числе правительственным.
Отчет гласит, что в своих атаках хакеры использовали целевой фишинг и письма-приманки, так или иначе связанные со специальной военной операций. Таким образом получателей вынуждали открыть вредоносные послания, которые в итоге эксплуатировали старые уязвимости в Roundcube (CVE-2020-35730, CVE-2020-12641 и CVE-2021-44026) для взлома непропатченных серверов. То есть в данном случае пользователям даже не нужно было взаимодействовать с вредоносными вложениями.
Если компрометация удавалась, атакующие разворачивали на сервере вредоносные скрипты, которые перенаправляли входящие письма жертв на почтовый адрес, находящийся под контролем самих злоумышленников. Также эти скрипты использовались для поиска и кражи адресной книги жертв, сессионных cookie и другой информации, хранящейся в БД Roundcube.
Исследователи считают, что инфраструктура, использованная хакерами в этих атаках, активна примерно с ноября 2021 года, и деятельность APT28 направлена «на сбор военной разведывательной информации».
«Мы выявили активность BlueDelta, вероятнее всего, направленную на региональную украинскую прокуратуру и [неназванный] центральный орган исполнительной власти страны, а также обнаружили разведывательную деятельность, связанную с другими украинскими государственными структурами и организациями, в том числе, занимающимися модернизацией и ремонтом инфраструктуры для украинской военной авиации», — сообщают исследователи Recorded Future.