В сентябре 2024 года специалисты Positive Technologies обнаружили вредоносное письмо, получателем которого была неназванная государственная организация в одной из стран СНГ. С помощью письма атакующие пытались атаковать уязвимость CVE-2024-37383, ранее найденную в почтовом клиенте Roundcube Webmail экспертами CrowdStrike.

Письмо злоумышленников представляло собой сообщение без текста и содержало вложенный документ. При этом почтовый клиент не отображал наличие вложения, а в теле письма были обнаружены характерные теги, содержащие конструкцию eval(atob(...)), декодирующие и выполняющие код на JavaScript.

Имя атрибута (attributeName="href "), содержащее дополнительный пробел, говорит о том, что это письмо было попыткой эксплуатации уязвимости CVE-2024-37383 в Roundcube Webmail.

Исследователи пишут, что CVE-2024-37383 представляет собой XSS-баг, который позволяет выполнять произвольный JavaScript-код, который запустит атакующий в браузере пользователя. Для этого потенциальной жертве достаточно открыть вредоносное письмо в веб-клиенте Roundcube версии до 1.5.6 либо от 1.6 до 1.6.6. Разработчики Roundcube устранили проблему 19 мая 2024 года.

Пейлоад из вредоносного письма предпринимал попытку получить сообщения из почтового сервера с помощью плагина ManageSieve. Дополнительно в HTML-страницу, отображаемую пользователю, добавлялась форма авторизации с полями rcmloginuser и rcmloginpwd — логином и паролем пользователя для клиента Roundcube. Исследователи предполагают,  что расчет был на вероятность автозаполнения указанных полей, или на то, что пользователь самостоятельно введет данные из-за необходимости якобы повторной авторизации.

В компании отмечают, что в прошлом баги в Roundcube Webmail  неоднократно использовались в атаках такими хак-группами, как APT28, Winter Vivern и TAG-70. Однако пока выявленную активность  не удалось связать с каким-либо известными злоумышленниками.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии