Russische cyberspionnen proberen gevoelige gegevens uit e-mailaccounts te stelen

Dit blijkt uit een analyse van ESET. De meeste slachtoffers hebben verband met de oorlog in Oekraïne, zoals Oekraïense overheidsinstanties en defensiebedrijven in Bulgarije en Roemenië. Opvallend is dat sommige van deze bedrijven wapens uit het Sovjettijdperk produceren voor gebruik in Oekraïne. Andere doelwitten zijn overheden in Afrika, de Europese Unie en Zuid-Amerika.

Schadelijke JavaScript-code uitvoeren

De XSS-exploits worden verspreid via e-mail en voeren schadelijke JavaScript-code uit in de webmailomgeving van het slachtoffer. Hierdoor kunnen alleen gegevens die toegankelijk zijn via het doelaccount worden uitgelezen en gestolen. Om de aanval te laten slagen, moet het slachtoffer de e-mail openen in een kwetsbaar webmailportaal. De e-mail moet daarvoor de spamfilters omzeilen en een overtuigend onderwerp hebben. Vaak worden bekende nieuwskanalen nagebootst, zoals Kyiv Post of News.bg. Voorbeelden van gebruikte onderwerpen zijn: “SBU arresteert bankier die werkte voor vijandelijke militaire inlichtingendienst in Charkiv” en “Poetin hoopt op instemming van Trump met Russische voorwaarden in bilaterale relaties.”

“Vorig jaar zagen we dat verschillende XSS-kwetsbaarheden werden misbruikt om extra webmailsoftware aan te vallen, zoals Horde, MDaemon en Zimbra,” zegt ESET-onderzoeker Matthieu Faou, die Operation RoundPress ontdekte en onderzocht. “Sednit is ook begonnen met het inzetten van een recent ontdekte kwetsbaarheid in Roundcube (CVE-2023-43770). De kwetsbaarheid in MDaemon (CVE-2024-11182) — inmiddels gepatcht — was een zero day, waarschijnlijk ontdekt door Sednit zelf. De kwetsbaarheden in Horde, Roundcube en Zimbra waren al bekend en voorzien van patches.”

De kwaadaardige JavaScript-payloads hebben namen als SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE en SpyPress.ZIMBRA. Deze kunnen inloggegevens stelen, het adresboek en contacten buitmaken, en e-mailberichten onderscheppen en stelen. SpyPress.MDAEMON heeft zelfs een mechanisme om tweestapsverificatie te omzeilen door het authenticatiegeheim te stelen en een app-wachtwoord aan te maken, waarmee toegang wordt verkregen via een e-mailclient.

Verantwoordelijk voor geruchtmakende aanvallen

Sednit is al actief sinds 2004. Volgens het Amerikaanse ministerie van Justitie was deze groep verantwoordelijk voor de hack op het Democratic National Committee (DNC) vlak voor de Amerikaanse verkiezingen van 2016. Sednit wordt ook in verband gebracht met de aanval op tv-netwerk TV5Monde, het e-maillek bij de World Anti-Doping Agency (WADA) en tal van andere incidenten.

“In de afgelopen twee jaar zijn webmailservers zoals Roundcube en Zimbra een belangrijk doelwit geworden voor meerdere cyberspionagegroepen, waaronder Sednit, GreenCube en Winter Vivern,” verklaart Faou. “Omdat veel organisaties hun webmailservers niet up-to-date houden en de kwetsbaarheden op afstand te misbruiken zijn via een simpel e-mailbericht, vormen deze servers een aantrekkelijk doelwit voor e-maildiefstal.”

Een gedetailleerde technische analyse van de gebruikte tools in Operation RoundPress is hier te vinden.