В Україні зафіксували кібератаку з "приманкою", замаскованою під статтю відомого ЗМІ

Як ідеться у повідомленні, її намагалися здійснити із застосуванням експлойтів для Roundcube (програмне забезпечення для вебпошти) та за допомогою розсилання електронних листів із актуальними новинами щодо ситуації в Україні.

Зокрема, один із електронних листів з темою "Новини України" був отриманий з адреси ukraine_news@meta[.]ua та містив контент-приманку, замаскований під статтю видання NV (nv.ua), а також експлойт для вразливості в Roundcube CVE-2020-35730 (XSS) і відповідний JavaScript-код, призначений для завантаження і запуску додаткових JavaScript-файлів: "q.js" та "e.js".

Так, файл "e.js" забезпечує створення фільтру "default filter" для перенаправлення вхідних електронних листів на сторонню електронну адресу, а також здійснює ексфільтрацію за допомогою HTTP POST-запитів: адресної книги, значень сесії (Cookie) та електронних повідомлень жертви. В свою чергу "q.js" містить експлойт для вразливості в Roundcube CVE-2021-44026 (SQLi), за допомогою якого здійснюється ексфільтрація інформації з бази даних Roundcube.

Додатково виявлено програмний код "c.js", що містить експлойт для вразливості CVE-2020-12641 та забезпечує виконання команд на поштовому сервері.

Загалом, подібні електронні листи було відправлено на адреси більше ніж 40 українських організацій. При цьому в CERT-UA наголошують, що реалізації загрози сприяло використання застарілої версії Roundcube (1.4.1). Спробу ж реалізації кіберзагрози, як повідомляється, допоміг виявити оперативний обмін інформацією з фахівцями компанії Recorded Future.

Нагадаємо також, що напередодні в CERT-UA повідомляли про шахрайську активність щодо користувачів, що використовують електронну пошту сервісу Ukr.net.

Джерело фото: ua.depositphotos.com