Rus Bağlantılı Bilgisayar Korsanları, Roundcube Kusurları Aracılığıyla 80+ Kuruluşu Hedef Alıyor

Belarus ve Rusya ile uyumlu çıkarlarla faaliyet gösteren tehdit aktörleri, 80'den fazla kuruluşu hedef almak için Roundcube web posta sunucularındaki siteler arası komut dosyası çalıştırma (XSS) güvenlik açıklarından yararlanan yeni bir siber casusluk kampanyasıyla ilişkilendirildi.

Bu varlıklar öncelikle Gürcistan, Polonya ve Ukrayna'da bulunuyor ve izinsiz giriş setini TA473 ve UAC0114 olarak da bilinen Winter Vivern olarak bilinen bir tehdit aktörüne bağlayan Recorded Future'a göre. Siber güvenlik firması, bilgisayar korsanlığı ekibini Threat Activity Group 70 (TAG-70) takma adı altında takip ediyor.

Winter Vivern'in Roundcube e-posta sunucularındaki güvenlik açıklarından yararlanması, daha önce Ekim 2023'te ESET tarafından vurgulanmış ve e-posta yazılımlarını hedef aldığı bilinen APT28, APT29 ve Sandworm gibi Rusya bağlantılı diğer tehdit aktörü gruplarına katılmıştı.

En az Aralık 2020'den beri aktif olan düşman, Temmuz 2023'te Moldova ve Tunus'taki kuruluşlara sızmak için geçen yıl Zimbra Collaboration e-posta yazılımında şu anda yamalanmış bir güvenlik açığının kötüye kullanılmasıyla da bağlantılı.

Recorded Future tarafından keşfedilen kampanya, Ekim 2023'ün başından itibaren gerçekleşti ve Avrupa'nın siyasi ve askeri faaliyetleri hakkında istihbarat toplamak amacıyla ay ortasına kadar devam etti. Saldırılar, Mart 2023'te tespit edilen Özbekistan devlet posta sunucularına yönelik ek TAG-70 etkinliğiyle örtüşüyor.

Şirket, "TAG70, saldırı yöntemlerinde yüksek düzeyde karmaşıklık gösterdi" dedi. "Tehdit aktörleri, hükümet ve askeri kuruluşların savunmasını atlayarak, hedeflenen posta sunucularına yetkisiz erişim elde etmek için sosyal mühendislik tekniklerinden yararlandı ve Roundcube web posta sunucularındaki siteler arası komut dosyası güvenlik açıklarından yararlandı."

Saldırı zincirleri, kullanıcı kimlik bilgilerini bir komuta ve kontrol (C2) sunucusuna sızdırmak için tasarlanmış JavaScript yükleri sağlamak için Roundcube kusurlarından yararlanmayı içerir.

Recorded Future, TAG-70'in Rusya ve Hollanda'daki İran büyükelçiliklerini ve İsveç'teki Gürcistan Büyükelçiliği'ni hedef aldığına dair kanıtlar bulduğunu söyledi.

Açıklamada, "Rusya ve Hollanda'daki İran büyükelçiliklerinin hedef alınması, İran'ın diplomatik faaliyetlerini, özellikle de Ukrayna'da Rusya'ya verdiği desteği değerlendirmeye yönelik daha geniş bir jeopolitik çıkara işaret ediyor" denildi.

"Benzer şekilde, Gürcistan devlet kurumlarına yönelik casusluk, Gürcistan'ın Avrupa Birliği (AB) ve NATO üyeliği konusundaki isteklerini izleme konusundaki çıkarları yansıtıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.