В Украине зафиксировали кибератаку с "приманкой", замаскированной под статью известного СМИ

Как говорится в сообщении, ее пытались осуществить с применением эксплойтов для Roundcube (программное обеспечение для веб-почты) и посредством рассылки электронных писем с актуальными новостями о ситуации в Украине.

В частности, одно из электронных писем с темой "Новости Украины" было получено с адреса ukraine_news@meta[.]ua и содержало контент-приманку, замаскированную под статью издания NV (nv.ua), а также эксплойт для уязвимости в Roundcube CVE-2020-35730 (XSS) и соответствующий JavaScript-код, предназначенный для загрузки и запуска дополнительных JavaScript-файлов: "q.js" и "e.js".

Так, файл "e.js" обеспечивает создание фильтра "default filter" для перенаправления входящих электронных писем на сторонний электронный адрес, а также осуществляет эксфильтрацию с помощью HTTP POST-запросов: адресной книги, значений сессии (Cookie) и сообщений жертвы. В свою очередь, "q.js" содержит эксплойт для уязвимости в Roundcube CVE-2021-44026 (SQLi), с помощью которого осуществляется эксфильтрация информации из базы данных Roundcube.

Дополнительно обнаружен программный код "c.js", содержащий эксплойт для уязвимости CVE-2020-12641 и обеспечивающий выполнение команд на почтовом сервере.

В целом подобные электронные письма были отправлены на адреса более 40 украинских организаций. При этом в CERT-UA отмечают, что реализации угрозы способствовало использование устаревшей версии Roundcube (1.4.1). Попытку же реализации киберугрозы, как сообщается, помог выявить оперативный обмен информацией со специалистами компании Recorded Future.

Напомним также, что накануне в CERT-UA сообщали о мошеннической активности в отношении пользователей, использующих электронную почту сервиса Ukr.net.

Источник фото: ua.depositphotos.com