- Категория
- IT и Телеком
- Дата публикации
- Переключить язык
- Читати українською
В Украине зафиксировали кибератаку с "приманкой", замаскированной под статью известного СМИ
Правительственная команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) при Госслужбе спецсвязи и защиты информации обнаружила киберугрозу со стороны хакерской группировки APT28 (также известной как Pawn Storm, Fancy Bear и BlueDelta) против украинских организаций.
Как говорится в сообщении, ее пытались осуществить с применением эксплойтов для Roundcube (программное обеспечение для веб-почты) и посредством рассылки электронных писем с актуальными новостями о ситуации в Украине.
В частности, одно из электронных писем с темой "Новости Украины" было получено с адреса ukraine_news@meta[.]ua и содержало контент-приманку, замаскированную под статью издания NV (nv.ua), а также эксплойт для уязвимости в Roundcube CVE-2020-35730 (XSS) и соответствующий JavaScript-код, предназначенный для загрузки и запуска дополнительных JavaScript-файлов: "q.js" и "e.js".
Так, файл "e.js" обеспечивает создание фильтра "default filter" для перенаправления входящих электронных писем на сторонний электронный адрес, а также осуществляет эксфильтрацию с помощью HTTP POST-запросов: адресной книги, значений сессии (Cookie) и сообщений жертвы. В свою очередь, "q.js" содержит эксплойт для уязвимости в Roundcube CVE-2021-44026 (SQLi), с помощью которого осуществляется эксфильтрация информации из базы данных Roundcube.
Подписывайтесь на Youtube-канал delo.uaДополнительно обнаружен программный код "c.js", содержащий эксплойт для уязвимости CVE-2020-12641 и обеспечивающий выполнение команд на почтовом сервере.
В целом подобные электронные письма были отправлены на адреса более 40 украинских организаций. При этом в CERT-UA отмечают, что реализации угрозы способствовало использование устаревшей версии Roundcube (1.4.1). Попытку же реализации киберугрозы, как сообщается, помог выявить оперативный обмен информацией со специалистами компании Recorded Future.
Напомним также, что накануне в CERT-UA сообщали о мошеннической активности в отношении пользователей, использующих электронную почту сервиса Ukr.net.
Источник фото: ua.depositphotos.com