Il malware SpyPress legato alla Russia sfrutta le webmail per spiare l'Ucraina

ESET segnala RoundPress, una campagna di spionaggio informatico condotta dalla russa Fancy Bear (Sednit) che prende di mira organizzazioni legate all'Ucraina sfruttando vulnerabilità della webmail e il malware SpyPress.

I ricercatori di sicurezza informatica di ESET hanno rivelato una sofisticata campagna di spionaggio informatico, nome in codice RoundPress, valutando con "media sicurezza" che sia orchestrata dal gruppo Sednit, sostenuto dalla Russia (noto anche come APT28 , Fancy Bear ). Questa operazione prende di mira attivamente organizzazioni legate al conflitto in corso in Ucraina, con l'obiettivo di esfiltrare dati riservati da server di posta elettronica vulnerabili come RoundCube.

Il gruppo Sednit, collegato dal Dipartimento di Giustizia degli Stati Uniti all'attacco informatico al Comitato Nazionale Democratico (DNC) del 2016 e monitorato da Hackread.com negli attacchi a TV5Monde e WADA , ha utilizzato e-mail mirate di spear phishing nella campagna RoundPress.

Queste e-mail sfruttano le vulnerabilità Cross-Site Scripting (XSS) presenti in varie piattaforme di webmail per iniettare codice JavaScript dannoso, denominato SpyPress, nel browser della vittima.

Nel post del blog di ESET, condiviso con Hackread.com, i ricercatori hanno osservato che negli ultimi due anni, i gruppi di spionaggio hanno preso di mira server di posta elettronica come Roundcube e Zimbra per il furto di e-mail a causa della loro natura obsoleta e dei trigger di vulnerabilità remote che facilitano gli attacchi.

Nel 2023, i ricercatori hanno osservato Sednit sfruttare CVE-2020-35730 in Roundcube . Tuttavia, nel 2024, la campagna si è estesa per colpire vulnerabilità in:

• Orda (un vecchio difetto XSS)

• Roundcube ( CVE-2023-43770 , corretto il 14 settembre 2023)

• Zimbra ( CVE-2024-27443 , noto anche come ZBUG-3730, corretto il 1° marzo 2024)

• MDaemon ( CVE-2024-11182 , una vulnerabilità zero-day segnalata dai ricercatori il 1° novembre 2024 e corretta nella versione 24.5.1 il 14 novembre 2024)

ESET ha rilevato una specifica email di spear phishing inviata il 29 settembre 2023 da katecohen1984@portugalmailpt che sfruttava la vulnerabilità CVE-2023-43770 in Roundcube. Le email spesso imitano il contenuto di notizie per invogliare le vittime ad aprirle, come un'email inviata l'11 settembre 2024 a un obiettivo ucraino da kyivinfo24@ukrnet riguardante un presunto arresto a Kharkiv, e un'altra inviata l'8 novembre 2024 a un obiettivo bulgaro da office@terembgcom riguardante Putin e Trump.

I principali obiettivi dell'operazione RoundPress del 2024, come identificato tramite la telemetria ESET e le segnalazioni di VirusTotal, sono prevalentemente entità governative ucraine e aziende di difesa in Bulgaria e Romania, alcune delle quali producono armi dell'era sovietica per l'Ucraina.

I ricercatori hanno inoltre osservato attacchi ai governi nazionali di Grecia, Camerun, Ecuador, Serbia e Cipro (un accademico in studi ambientali), a un'azienda di telecomunicazioni per il settore della difesa in Bulgaria e a un'azienda di trasporto aereo civile e a un'azienda statale di trasporti in Ucraina.

Le varianti del malware SpyPress (SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE e SpyPress.ZIMBRA) condividono tecniche di offuscamento e comunicano con i server C2 tramite richieste HTTP POST. Tuttavia, le loro capacità variano.

Ad esempio, è stato osservato SpyPress.ROUNDCUBE mentre creava regole Sieve per inoltrare tutte le email in arrivo a un indirizzo controllato dall'aggressore, come srezoska@skiffcom (Skiff è un servizio di posta elettronica orientato alla privacy). SpyPress.MDAEMON ha dimostrato la capacità di creare password per le app, garantendo un accesso persistente.

I ricercatori hanno concluso che lo sfruttamento continuo delle vulnerabilità della webmail da parte di gruppi come Sednit sottolinea l'importanza di patch tempestive e di misure di sicurezza efficaci per proteggere le informazioni sensibili da queste campagne di spionaggio mirate.

J Stephen Kowski , Field CTO di SlashNext Email Security+, ha commentato gli ultimi sviluppi affermando: " Attacchi come Operation RoundPress dimostrano quanto velocemente gli hacker possano cambiare bersaglio, soprattutto quando trovano punti deboli nelle piattaforme di posta elettronica più diffuse " .

" Che si utilizzino sistemi di posta elettronica commerciali a pagamento o opzioni open source gratuite e self-hosted come RoundCube, nessuna soluzione è completamente sicura: i sistemi self-hosted spesso danno un falso senso di sicurezza poiché necessitano comunque di aggiornamenti regolari e di manutenzione da parte di esperti " , ha avvertito.

" Il modo migliore per rimanere al passo con i tempi è assicurarsi che i sistemi di posta elettronica siano sempre aggiornati e aggiornati con le patch, utilizzare protezioni efficaci come l'autenticazione a più fattori e disporre di strumenti in grado di individuare e bloccare le e-mail di phishing prima che raggiungano gli utenti ", ha consigliato Kowski.