Хакеры из APT28 атаковали почтовые серверы украинских организаций, включая правительственные

DarkNetNews Проишествия

Исследователи Recorded Future и CERT-UA сообщают, что русскоязычная хак-группа APT28 (она же Fancy Bear, BlueDelta, Sednit и Sofacy) взломала почтовые серверы Roundcube, принадлежащие нескольким украинским организациям, в том числе правительственным.

⚫️ Отчет гласит, что в своих атаках хакеры использовали целевой фишинг и письма-приманки, так или иначе связанные со специальной военной операций. Таким образом получателей вынуждали открыть вредоносные послания, которые в итоге эксплуатировали старые уязвимости в Roundcube (CVE-2020-35730, CVE-2020-12641 и CVE-2021-44026) для взлома непропатченных серверов. То есть в данном случае пользователям даже не нужно было взаимодействовать с вредоносными вложениями.

💳 Если компрометация удавалась, атакующие разворачивали на сервере вредоносные скрипты, которые перенаправляли входящие письма жертв на почтовый адрес, находящийся под контролем самих злоумышленников. Также эти скрипты использовались для поиска и кражи адресной книги жертв, сессионных cookie и другой информации, хранящейся в БД Roundcube.

Источник:DarkNetNews