Эксперты обнаружили полный арсенал APT28 для атак на почтовые системы: украинские госорганы в прицеле

Группа APT28 (Fancy Bear, Sednit и Forest Blizzard), известна своей активностью с 2004 года. Её методы включают целевой фишинг, эксплуатацию уязвимостей нулевого дня и сложные многоэтапные атаки. За последние годы группировка неоднократно нацеливалась на почтовые платформы, такие как Roundcube, Horde и Zimbra, используя уязвимости типа межсайтового скриптинга (XSS) для хищения учётных данных, писем и контактов сотрудников государственных и оборонных структур. Последний обнаруженный набор инструментов, получивший условное название Roundish, демонстрирует как преемственность известных тактик группы, так и появление новых, ранее не документированных возможностей.

В январе 2026 года исследователи обнаружили открытую директорию на IP-адресе 203.161.50[.]145, размещённом на инфраструктуре Namecheap в США. В ней находился полный эксплуатационный набор, включающий вредоносные полезные нагрузки, сервер управления и контроля (C2), написанный на Flask, инструменты для CSS-инъекций, историю команд оператора и даже имплант на языке Go, развёрнутый на скомпрометированном украинском веб-приложении. Общий объём данных составил 52 мегабайта. Эта утечка предоставила беспрецедентную видимость в процесс разработки, тестирования и развёртывания хакерского инструментария. Технические пересечения с задокументированной ESET операцией RoundPress позволяют с высокой степенью уверенности атрибутировать эту активность группе APT28.

Анализ показал четырнадцать совпадений в тактиках, техниках и процедурах (TTP), семь из которых являются точными совпадениями редких методов, характерных именно для этой группировки. Например, Roundish использует идентичный подход с внедрением на страницу невидимых полей для логина и пароля, которые затем заполняются функцией автозаполнения браузера жертвы при любом клике. Перехваченные данные кодируются и отправляются на сервер злоумышленников. Другие точные совпадения включают создание правил переадресации всей почты на внешний ящик, извлечение секретов двухфакторной аутентификации (2FA) и хищение адресной книги через API Roundcube. Примечательно, что целевой почтовый ящик для пересылки сменился с сервиса Skiff на ProtonMail, что логично, учитывая закрытие Skiff в 2024 году.

Однако Roundish вносит и новые элементы в известный арсенал APT28. Среди них - модуль для CSS-инъекций, реализующий атаку по побочному каналу для постепенного извлечения данных, таких как токены CSRF, без внедрения JavaScript. Этот метод основан на исследованиях независимого эксперта и ранее не связывался с деятельностью группы. Кроме того, в набор вошли стилеры для извлечения сохранённых паролей из браузеров Chrome и Firefox, скрипт для обнаружения и побега из контейнеризованных сред, а также имплант httd, предоставляющий злоумышленникам долгосрочное закрепление в системе на Linux через cron, systemd и обход SELinux.

Наиболее важной находкой стало прямое подтверждение целей атаки. История команд оператора в bash-сессии содержит прямые обращения к домену mail.dmsu.gov.ua - почтовому сервису Государственной миграционной службы Украины на базе Roundcube. Оператор проверял доступность сервера, создавал отдельные директории для кампании, что свидетельствует о целенаправленной разведке и подготовке к эксплуатации. Это полностью соответствует предыдущим фокусам APT28 на украинские государственные учреждения.

Помимо основного целевого объекта, анализ данных с сервера выявил следы компрометации дополнительной инфраструктуры. Так, был обнаружен полный архив исходного кода блога pentagonteam.com, принадлежащего украинскому разработчику, с конфиденциальными данными, включая токены Telegram и учётные данные Sentry. На сервере также оказалась конфигурация межсетевого экрана Palo Alto Networks, принадлежащего индийскому интернет-провайдеру, что может указывать либо на использование этой сети для промежуточных операций, либо на более широкий географический охват кампании.

Технически атака построена по модульному принципу. Основная полезная нагрузка, внедряемая через XSS в Roundcube, выполняет шесть операций одновременно при открытии жертвой скомпрометированного письма: отправку маячка, перехват автозаполненных паролей, создание постоянного правила переадресации всей входящей почты, массовый выгрузку писем из папок "Входящие" и "Отправленные", извлечение секретов 2FA и кражу контактов. При этом правило переадресации, создаваемое на стороне почтового сервера через протокол Sieve, обеспечивает устойчивость: даже если уязвимость будет устранена, а сеанс пользователя прекращён, пересылка писем на контролируемый злоумышленниками адрес advenwolf@proton[.]me продолжится.

Обнаружение подобного полного набора инструментов в открытом доступе - редкая удача для специалистов по безопасности. Оно не только подтверждает продолжающуюся активность APT28 против критически важных целей, но и предоставляет ценные индикаторы компрометации для построения защиты. Организациям, использующим Roundcube и аналогичные веб-почтовые системы, особенно в государственном и оборонном секторах, необходимо срочно провести аудит правил переадресации Sieve, ужесточить политику безопасности контента, отключив eval() и загрузку внешних ресурсов, и обеспечить регулярное обновление ПО. Сброс паролей в случае компрометации недостаточен - требуется полная проверка и удаление всех созданных фильтров, а также повторная регистрация средств двухфакторной аутентификации.

IPv4

• 106.51.89.49
• 130.61.233.105
• 203.161.50.145
• 217.146.67.241

Domains

• a.zhblz.com
• blog.pentagonteam.com
• listener.py
• mail.dmsu.gov.ua
• pentagonteam.com
• serverlast.py
• zhblz.com

Emails

• advenwolf@proton.me

MD5

• 4b3e139c122df9fbc08442b7823ebde9

SHA256

• e76f54b7b98ba3a08f39392e6886a9cb3e97d57b8a076e6b948968d0be392ed8