يدير المتسللون حملة على الإنترنت في جميع أنحاء العالم يطلق عليها اسم “مذهب مركب” ، ويستفيد من عيوب يوم الصفر واليوم في خوادم بريد الويب لسرقة البريد الإلكتروني من المنظمات الحكومية عالية القيمة.
الباحثون ESET الذين”https://www.welivesecurity.com/en/eset-research/operation-roundpress/” الهدف=”_blank” rel=”nofollow noopener”> كشفت العملية اعزه بثقة متوسطة للمتسللين الروسيين الذين ترعاهم الدولة”https://www.bleepingcomputer.com/news/security/france-ties-russian-apt28-hackers-to-12-cyberattacks-on-french-orgs/” الهدف=”_blank” rel=”nofollow noopener”> APT28 (الملقب “Fancy Bear” أو “Sednit”).
بدأت الحملة في عام 2023 واستمرت مع اعتماد مآثر جديدة في عام 2024 ، واستهداف Roundcube و Horde و Mdaemon و Zimbra.
وتشمل الأهداف البارزة الحكومات في اليونان وأوكرانيا وصربيا والكاميرون والوحدات العسكرية في أوكرانيا والإكوادور ، وشركات الدفاع في أوكرانيا وبلغاريا ورومانيا ، والبنية التحتية الحرجة في أوكرانيا وبلغاريا.
المصدر: ESET
افتح البريد الإلكتروني ، وسرقة البيانات
يبدأ الهجوم عبر بريد إلكتروني يصرح بالرمح يشير إلى الأخبار أو الأحداث السياسية الحالية ، بما في ذلك مقتطفات من المقالات الإخبارية لإضافة شرعية.
حمولة جافا سكريبت ضارة مضمنة في الجسم HTML للبريد الإلكتروني يؤدي إلى استغلال ثغرة نصفية للبرمجة (XSS) في صفحة متصفح بريد الويب المستخدمة من قبل المستلم.
كل ما هو مطلوب من الضحية هو فتح البريد الإلكتروني لعرضه ، حيث لا يلزم تنفيذ أي تفاعل/نقرات أخرى أو إعادة توجيه أو إدخال بيانات لتنفيذ برنامج JavaScript الضار.
المصدر: ESET
لا يحتوي الحمولة على آليات الثبات ، لذلك يتم تنفيذها فقط عند فتح البريد الإلكتروني الضار.
يقوم البرنامج النصي بإنشاء حقول إدخال غير مرئية لخداع المتصفحات أو مديري كلمة المرور في بيانات الاعتماد المخزنة تلقائيًا لحسابات البريد الإلكتروني للضحية.
المصدر: ESET
بالإضافة إلى ذلك ، فإنه يقرأ DOM أو يرسل طلبات HTTP لجمع محتوى رسالة البريد الإلكتروني ، وجهات الاتصال ، وإعدادات بريد الويب ، وسجل تسجيل الدخول ، ومصادقة العوامل ، وكلمات المرور.
يتم بعد ذلك تمرير البيانات إلى عناوين الأوامر والسيطرة المتشددين (C2) باستخدام طلبات نشر HTTP.
يحتوي كل برنامج نصي على مجموعة مختلفة قليلاً من القدرات ، تم تعديلها للمنتج الذي يستهدفه.
نقاط الضعف المستهدفة
استهدفت Operation RoundPress عيوب XSS متعددة في مختلف منتجات بريد الويب التي تستخدمها المنظمات المهمة عادة لحقن نصوص JS الضارة.
يتضمن استغلال ESET المرتبط بهذه الحملة العيوب التالية:
- RoundCube -“https://www.bleepingcomputer.com/news/security/cisa-roundcube-email-server-bug-now-exploited-in-attacks/” الهدف=”_blank” rel=”nofollow noopener”> CVE-2020-35730: عيب XSS المخزن الذي يستخدمه المتسللين في عام 2023 ، عن طريق تضمين JavaScript مباشرة في جسم بريد إلكتروني. عندما فتح الضحايا البريد الإلكتروني في جلسة بريد ويب تستند إلى المتصفح ، تم تنفيذ البرنامج النصي في سياقهم ، مما يتيح بيانات الاعتماد وسرقة البيانات.
- RoundCube -“https://www.bleepingcomputer.com/news/security/cisa-roundcube-email-server-bug-now-exploited-in-attacks/” الهدف=”_blank” rel=”nofollow noopener”> CVE-2023-43770: قابلية عدم الحصانة XSS في كيفية تعامل نصي الارتباط التشعبي المستدير في أوائل عام 2024. سمح التعقيم غير الصحيح للمهاجمين بإصدار علامات
- Mdaemon-CVE-2024-11182: عيب XSS ليوم الصفر في محلل HTML الخاص بخادم MDAEMON EMAIL ، الذي تم استغلاله من قبل المتسللين في أواخر عام 2024. من خلال صياغة سمة عنوان مشوه مع علامة noembed ، يمكن للمهاجمين تقديم حمولة خفية ، وتنفيذ JavaScript. مكّن ذلك سرقة بيانات الاعتماد ، 2FA ، والوصول المستمر عبر كلمات مرور التطبيق.
- Horde – XSS غير معروف: حاول APT28 استغلال ضعف XSS القديم في Horde من خلال وضع البرنامج النصي في معالج . ومع ذلك ، فشلت المحاولة ، على الأرجح بسبب التصفية المدمجة في إصدارات Horde الحديثة. الخلل الدقيق غير مؤكد ولكن يبدو أنه تم تصحيحه في هذه الأثناء.
- Zimbra-CVE-2024-27443: تعرض الضعف XSS في تقويم Zimbra ، الذي لم يتم وضع علامة عليه على أنه تم استغلاله بشكل نشط من قبل. سمحت المدخلات غير المصنفة من رأس X-Zimbra-Calendar المقصود إلى حقن JavaScript في واجهة المستخدم التقويمية. تم تضمين APT28 نصًا مخفيًا تم فك تشفيره وتنفيذه BASE64 JavaScript عندما تم عرض الدعوة.
على الرغم من أن ESET لا يبلغ عن أي نشاط مركب مركب لعام 2025 ، إلا أنه يمكن تطبيق أساليب المتسللين بسهولة على هذا العام أيضًا ، حيث يوجد”https://nvd.nist.gov/vuln/detail/CVE-2025-3929″ الهدف=”_blank” rel=”nofollow noopener”> العرض المستمر من عيوب XSS الجديدة في منتجات بريد الويب الشهيرة.