קמפיין אקרים רוסי גונב נתונים מסוכנויות ממשלתיות

במשך שנים, גורמי איום בחסות המדינה הרוסית צותתו לממשלות ברחבי מזרח אירופה, אפריקה ואמריקה הלטינית.

דו"ח חדש של חוקרי אבטחת הסייבר ESET מצא כי הנוכלים ניצלו לרעה מספר פגיעויות של יום אפס ויום n בשרתי דואר אלקטרוני כדי לגנוב את האימיילים.

ESET כינתה את הקמפיין "RoundPress", ואמרה שהוא החל בשנת 2023. מאז, תוקפים רוסים המכונים Fancy Bear (AKA APT28), שלחו אימיילים של פישינג לקורבנות ביוון, אוקראינה, סרביה, בולגריה, רומניה, קמרון ואקוודור.

מטרות ממשלתיות, צבאיות ואחרות

האימיילים נראים שפירים על פני השטח, דנים באירועים פוליטיים יומיומיים, אך בגוף ה-HTML הם נשאו פיסת קוד JavaScript זדונית. היא תנצל פגם ב-cross-site scripting (XSS) בדף הדוא"ל בו השתמש הקורבן, ותיצור שדות קלט בלתי נראים שבהם דפדפנים ומנהלי סיסמאות ימלאו אוטומטית את פרטי ההתחברות.

יתר על כן, הקוד יקרא את ה-DOM, או ישלח בקשות HTTP, יאסוף הודעות דוא"ל, אנשי קשר, הגדרות דוא"ל, מידע על 2FA ועוד. כל המידע יועבר לאחר מכן לכתובת C2 מקודדת.

בניגוד להודעות פישינג מסורתיות, הדורשות פעולה מסוימת מצד הקורבן, התקפות אלו דרשו רק מהקורבן לפתוח ולצפות באימייל. כל השאר נעשה ברקע.

הצד החיובי כאן הוא שלמטען אין מנגנון התמדה, כך שהוא פועל רק כאשר הקורבן פותח את האימייל. עם זאת, סביר להניח שפעם אחת מספיקה, מכיוון שאנשים כמעט ולא משנים את סיסמאות הדוא"ל שלהם לעתים קרובות.

ESET זיהתה מספר פגמים שנוצלו לרעה במתקפה זו, כולל שני פגמי XSS ב-Roundcube, פגם XSS של יום אפס ב-MDaemon, פגם XSS לא ידוע ב-Horde ופגם XSS ב-Zimbra.

בין הקורבנות נמנים ארגונים ממשלתיים, ארגונים צבאיים, חברות ביטחון וחברות תשתית קריטית.