Le malware SpyPress, lié à la Russie, exploite les messageries Web pour espionner l'Ukraine

ESET rapporte l'affaire RoundPress, une campagne de cyberespionnage menée par l'entreprise russe Fancy Bear (Sednit) ciblant des organisations liées à l'Ukraine via des vulnérabilités de messagerie Web et des logiciels malveillants SpyPress.

Des chercheurs en cybersécurité d'ESET ont révélé une campagne de cyberespionnage sophistiquée, baptisée RoundPress, et estiment avec une « confiance moyenne » qu'elle est orchestrée par le groupe Sednit (alias APT28 , Fancy Bear ), soutenu par la Russie. Cette opération cible activement les organisations liées au conflit en Ukraine, dans le but d'exfiltrer des données confidentielles de serveurs de messagerie web vulnérables comme RoundCube.

Le groupe Sednit, lié par le ministère américain de la Justice au piratage du Comité national démocrate (DNC) de 2016 et suivi par Hackread.com dans les attaques contre TV5Monde et WADA , a utilisé des e-mails de spearphishing ciblés dans la campagne RoundPress.

Ces e-mails exploitent les vulnérabilités Cross-Site Scripting (XSS) de diverses plates-formes de messagerie Web pour injecter du code JavaScript malveillant, surnommé SpyPress, dans le navigateur de la victime.

Dans un article de blog d'ESET, partagé avec Hackread.com, les chercheurs ont noté qu'au cours des deux dernières années, des groupes d'espionnage ont ciblé des serveurs de messagerie Web comme Roundcube et Zimbra pour le vol de courrier électronique en raison de leur nature obsolète et de leurs déclencheurs de vulnérabilité à distance facilitant le ciblage.

En 2023, des chercheurs ont observé que Sednit exploitait la vulnérabilité CVE-2020-35730 dans Roundcube . Cependant, en 2024, la campagne s'est étendue pour cibler les vulnérabilités suivantes :

• Horde (une ancienne faille XSS)

• Roundcube ( CVE-2023-43770 , corrigé le 14 septembre 2023)

• Zimbra ( CVE-2024-27443 , également connu sous le nom de ZBUG-3730, corrigé le 1er mars 2024)

• MDaemon ( CVE-2024-11182 , une faille zero-day signalée par les chercheurs le 1er novembre 2024 et corrigée dans la version 24.5.1 le 14 novembre 2024)

ESET a identifié un e-mail d'hameçonnage ciblé envoyé le 29 septembre 2023 par katecohen1984@portugalmailpt exploitant la faille CVE‑2023‑43770 dans Roundcube. Ces e-mails imitent souvent le contenu de l'actualité pour inciter les victimes à les ouvrir, comme par exemple un e-mail adressé à une cible ukrainienne le 11 septembre 2024 par kyivinfo24@ukrnet concernant une arrestation présumée à Kharkiv, et un autre adressé à une cible bulgare le 8 novembre 2024 par office@terembgcom concernant Poutine et Trump.

Les principales cibles de l'opération RoundPress en 2024, telles qu'identifiées par la télémétrie ESET et les soumissions VirusTotal, sont principalement des entités gouvernementales ukrainiennes et des sociétés de défense en Bulgarie et en Roumanie, dont certaines produisent des armes de l'ère soviétique pour l'Ukraine.

Les chercheurs ont également observé des attaques visant des gouvernements nationaux en Grèce, au Cameroun, en Équateur, en Serbie et à Chypre (un universitaire en études environnementales), une entreprise de télécommunications pour le secteur de la défense en Bulgarie et une société de transport aérien civil et une société publique de transport en Ukraine.

Les variantes du malware SpyPress (SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE et SpyPress.ZIMBRA) partagent des techniques d'obfuscation et communiquent avec les serveurs C2 via des requêtes HTTP POST. Cependant, leurs capacités varient.

Par exemple, SpyPress.ROUNDCUBE a été observé en train de créer des règles Sieve pour transférer tous les e-mails entrants vers une adresse contrôlée par un attaquant, telle que srezoska@skiffcom (Skiff étant un service de messagerie axé sur la confidentialité). SpyPress.MDAEMON a démontré sa capacité à créer des mots de passe d'application, accordant ainsi un accès permanent.

Les chercheurs ont conclu que l’exploitation continue des vulnérabilités du courrier électronique par des groupes comme Sednit souligne l’importance d’une mise à jour rapide des correctifs et de mesures de sécurité solides pour protéger les informations sensibles contre de telles campagnes d’espionnage ciblées.

J Stephen Kowski , directeur technique de terrain chez SlashNext Email Security+, a commenté le dernier développement en déclarant : « Des attaques comme Operation RoundPress montrent à quelle vitesse les pirates peuvent changer de cible, en particulier lorsqu'ils trouvent des faiblesses dans les plateformes de messagerie populaires. »

« Que vous utilisiez des systèmes de messagerie commerciaux payants ou des options open source gratuites et auto-hébergées comme RoundCube, aucune solution n'est complètement sûre - les systèmes auto-hébergés donnent souvent un faux sentiment de sécurité car ils nécessitent toujours des mises à jour régulières et une maintenance experte » , a-t-il averti.

« La meilleure façon de garder une longueur d’avance est de s’assurer que les systèmes de messagerie sont toujours mis à jour et corrigés, d’utiliser des protections solides comme l’authentification multifacteur et de disposer d’outils capables de repérer et de bloquer les e-mails de phishing avant qu’ils n’atteignent les utilisateurs », a conseillé Kowski.