ハッカーがRoundcubeの脆弱性を悪用し学術研究者をスパイ

中国と関連のある脅威クラスターが、米国・カナダの大学に設置されている脆弱なRoundcubeサーバーを悪用し、認証情報を窃取するとともにバックドア型マルウェアを展開していることが判明しました。

このキャンペーンは5月から観測されており、物理学・工学系の学部、大学管理者や教授陣、さらには天体物理学・素粒子物理学・国家安全保障関連の研究に携わる組織を主な標的としています。

サイバーセキュリティ企業Proofpointの研究者たちは、この活動を「UNK_MassTraction」という名称で追跡しており、新たな脅威クラスターと関連している可能性が高いとみています。

攻撃は、侵害されたアカウントやなりすましドメインから送信される悪意のあるメールを起点とし、ありふれた内容の文面が使われます。

Image

脆弱性のあるRoundcube Webメールクライアントでこのメールを開くと、CVE-2024-42009として追跡されているクロスサイトスクリプティング(XSS)の脆弱性が悪用され、被害者のブラウザ内でJavaScriptコードが実行されて「IceCube」と呼ばれるペイロードが読み込まれます。

研究者たちによると、IceCubeは「Roundcubeを標的とするフル機能の情報窃取ツール」であり、ユーザー名やパスワード、Cookie、二要素認証(2FA)データ、ブラウザ情報などを収集できるとされています。

攻撃者に先んじて、あらゆる層をテストする

セキュリティチームが記録できている攻撃成功件数は全体の54%にとどまり、アラートが発せられるのはわずか14%にすぎません。残りは検知されないまま環境内を移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)によってSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/hackers-exploit-roundcube-flaw-to-spy-on-academic-researchers/

ソース: bleepingcomputer.com