Mit Russland verbundene SpyPress-Malware nutzt Webmails, um die Ukraine auszuspionieren

ESET berichtet über RoundPress, eine Cyberspionagekampagne der russischen Firma Fancy Bear (Sednit), die über Webmail-Schwachstellen und SpyPress-Malware auf mit der Ukraine verbundene Organisationen abzielt.

Cybersicherheitsforscher von ESET haben eine ausgeklügelte Cyberspionage-Kampagne mit dem Codenamen RoundPress aufgedeckt und gehen mit mittlerer Sicherheit davon aus, dass sie von der von Russland unterstützten Sednit-Gruppe (auch bekannt als APT28 , Fancy Bear ) orchestriert wird. Diese Operation zielt aktiv auf Organisationen ab, die mit dem anhaltenden Konflikt in der Ukraine in Verbindung stehen, und zielt darauf ab, vertrauliche Daten von anfälligen Webmail-Servern wie RoundCube abzugreifen.

Die Sednit-Gruppe, die vom US-Justizministerium mit dem Hackerangriff auf das Democratic National Committee (DNC) im Jahr 2016 in Verbindung gebracht wird und die von Hackread.com bei Angriffen auf TV5Monde und WADA verfolgt wurde, hat im Rahmen der RoundPress-Kampagne gezielte Spearphishing-E-Mails eingesetzt.

Diese E-Mails nutzen Cross-Site-Scripting-Schwachstellen (XSS) in verschiedenen Webmail-Plattformen aus, um schädlichen JavaScript-Code namens SpyPress in den Browser des Opfers einzuschleusen.

In einem Blogbeitrag von ESET, der mit Hackread.com geteilt wurde, stellten die Forscher fest, dass Spionagegruppen in den letzten zwei Jahren Webmail-Server wie Roundcube und Zimbra für den E-Mail-Diebstahl ins Visier genommen haben, da diese veraltet waren und Remote-Auslöser für Schwachstellen das Angriffsziel erleichterten.

Im Jahr 2023 beobachteten Forscher, wie Sednit die Schwachstelle CVE-2020-35730 in Roundcube ausnutzte. Im Jahr 2024 wurde die Kampagne jedoch ausgeweitet und zielte nun auf folgende Schwachstellen ab:

• Horde (ein älterer XSS-Fehler)

• Roundcube ( CVE-2023-43770 , gepatcht am 14. September 2023)

• Zimbra ( CVE-2024-27443 , auch bekannt als ZBUG-3730, gepatcht am 1. März 2024)

• MDaemon ( CVE-2024-11182 , ein Zero-Day, der von Forschern am 1. November 2024 gemeldet und am 14. November 2024 in Version 24.5.1 gepatcht wurde)

ESET stellte eine spezifische Spearphishing- E-Mail fest, die am 29. September 2023 von katecohen1984@portugalmailpt verschickt wurde und die CVE-2023-43770 in Roundcube ausnutzte. Die E-Mails imitieren oft Nachrichteninhalte, um Opfer zum Öffnen zu verleiten, wie beispielsweise eine E-Mail an eine ukrainische Zielperson vom 11. September 2024 von kyivinfo24@ukrnet über eine angebliche Festnahme in Charkiw und eine weitere an eine bulgarische Zielperson vom 8. November 2024 von office@terembgcom über Putin und Trump.

Die Hauptziele der Operation RoundPress im Jahr 2024 sind, wie durch ESET-Telemetrie und VirusTotal-Einreichungen ermittelt, vor allem ukrainische Regierungsstellen und Rüstungsunternehmen in Bulgarien und Rumänien, von denen einige Waffen aus der Sowjetzeit für die Ukraine produzieren.

Die Forscher beobachteten außerdem, dass nationale Regierungen in Griechenland, Kamerun, Ecuador, Serbien und Zypern (eine Universität für Umweltstudien), ein Telekommunikationsunternehmen für den Verteidigungssektor in Bulgarien sowie ein ziviles Luftverkehrsunternehmen und ein staatliches Transportunternehmen in der Ukraine ins Visier genommen wurden.

Die SpyPress-Malware-Varianten (SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE und SpyPress.ZIMBRA) nutzen dieselben Verschleierungstechniken und kommunizieren über HTTP-POST-Anfragen mit C2-Servern. Ihre Fähigkeiten variieren jedoch.

Beispielsweise wurde beobachtet, dass SpyPress.ROUNDCUBE Sieve-Regeln erstellte, um alle eingehenden E-Mails an eine vom Angreifer kontrollierte Adresse wie srezoska@skiffcom weiterzuleiten (Skiff ist ein datenschutzorientierter E-Mail-Dienst). SpyPress.MDAEMON konnte beispielsweise App-Passwörter erstellen und so dauerhaften Zugriff gewähren.

Die Forscher kamen zu dem Schluss, dass die anhaltende Ausnutzung von Webmail-Schwachstellen durch Gruppen wie Sednit die Bedeutung zeitnaher Patches und strenger Sicherheitsmaßnahmen unterstreicht, um vertrauliche Informationen vor solchen gezielten Spionagekampagnen zu schützen.

J Stephen Kowski , Field CTO bei SlashNext Email Security+, kommentierte die neueste Entwicklung mit den Worten: „ Angriffe wie Operation RoundPress zeigen, wie schnell Hacker ihr Ziel wechseln können, insbesondere wenn sie Schwachstellen in gängigen E-Mail-Plattformen finden. “

„ Egal, ob Sie kostenpflichtige kommerzielle E-Mail-Systeme oder kostenlose, selbst gehostete Open-Source-Optionen wie RoundCube verwenden, keine Lösung ist vollkommen sicher – selbst gehostete Systeme vermitteln oft ein falsches Sicherheitsgefühl, da sie dennoch regelmäßige Updates und fachmännische Wartung benötigen “ , warnte er.

„ Um die Nase vorn zu behalten, sollten Sie sicherstellen, dass Ihre E-Mail-Systeme immer auf dem neuesten Stand und mit Patches ausgestattet sind, starke Schutzmechanismen wie Multi-Faktor-Authentifizierung verwenden und über Tools verfügen, die Phishing-E-Mails erkennen und blockieren können, bevor sie die Benutzer erreichen “, rät Kowski.