Российские хакеры атакуют почтовые серверы через XSS-уязвимости: операция RoundPress угрожает госструктурам и оборонным предприятиям

Фишинговая кампания началась с рассылки писем, замаскированных под новостные рассылки или важные сообщения. Тематика писем варьировалась от политических событий до военных сводок, что делало их максимально правдоподобными. Однако внутри таких сообщений скрывался вредоносный JavaScript-код, который активировался при открытии письма в уязвимых веб-интерфейсах почтовых сервисов. Среди пострадавших стран значатся Украина, Болгария, Румыния, Греция, Сербия, Камерун и Эквадор. В зоне риска оказались военные структуры, государственные учреждения и предприятия, занимающиеся производством вооружений.

Главной особенностью операции RoundPress стало использование нескольких XSS-эксплойтов, каждый из которых нацелен на конкретную систему электронной почты. Например, в почтовом сервере Roundcube злоумышленники использовали уязвимость CVE-2023-43770, а в MDaemon - ранее неизвестную zero-day-уязвимость CVE-2024-11182, которую Sednit эксплуатировала до момента ее обнаружения. Вредоносные скрипты, получившие названия SpyPress.MDAEMON, SpyPress.ROUNDCUBE и SpyPress.ZIMBRA, выполняли разные функции: от кражи паролей до автоматической пересылки всех входящих писем на контролируемые хакерами серверы.

Особую опасность представлял модуль SpyPress.MDAEMON, способный отключать двухфакторную аутентификацию и создавать резервные пароли для доступа к почтовым ящикам. Это позволяло злоумышленникам длительное время оставаться незамеченными, продолжая сбор данных. В случае с Zimbra вредоносный скрипт экспортировал контакты пользователей и перехватывал переписку, что могло привести к утечке конфиденциальной информации.

Анализ инфраструктуры атак показал, что за операцией RoundPress стоит группировка Sednit, известная своей активностью с начала 2010-х годов. Ранее она участвовала в атаках на Демократическую партию США, Всемирное антидопинговое агентство (WADA) и французский телеканал TV5Monde. Исследователи обнаружили, что командно-контрольные серверы, использовавшиеся в RoundPress, совпадают с теми, что применялись в предыдущих кампаниях Sednit, что подтверждает их причастность.

Эксперты по кибербезопасности предупреждают, что операция RoundPress демонстрирует, как даже старые, но не закрытые уязвимости могут стать инструментом для масштабных атак. Sednit продолжает совершенствовать свои методы, расширяя арсенал и выбирая новые цели. Защита от таких угроз требует своевременного обновления ПО, мониторинга подозрительной активности и обучения сотрудников основам цифровой гигиены. Владельцам почтовых серверов рекомендуется проверить системы на наличие известных уязвимостей и внедрить дополнительные меры защиты, включая фильтрацию входящего трафика и ограничение выполнения скриптов.

Кибервойна становится все более изощренной, и атаки вроде RoundPress напоминают, что ни одна организация не застрахована от угроз. Специалисты ожидают, что Sednit продолжит атаковать критически важные объекты, поэтому повышение осведомленности и внедрение современных средств защиты остаются ключевыми элементами кибербезопасности.

IPv4

• 111.90.151.167
• 146.70.125.79
• 185.195.237.106
• 185.225.69.223
• 193.29.104.152
• 45.137.222.24
• 89.44.9.74
• 91.237.124.153
• 91.237.124.164

Domains

• hfuu.de
• hijx.xyz
• ikses.net
• jiaw.shop
• lsjb.digital
• raxia.top
• rnl.world
• sqj.fr
• tgh24.xyz
• tuo.world

MD5

• 54756f7edb89d7183315c1f5c4f34b96
• 75d132dc9533ec8d59ad957bdf94b360
• 8cee36ce663c0bb8fef413f90da9b5ce
• 8dfecaaff88e33af7e78fcf8251a12a3
• 9280def0cec100bca5d42472b114d8c7
• 94e329e01786aff8a7770fa377c0f96d
• a397616ac811ba808d20cf8ed981eb2f
• a75c4f392ee3bd8d21c5c93ad6a5f4e9
• bc88c621b38b0a45fef3e758c591a908
• bee09e3995f719edc8e389a112b2fc73
• c9bb17ae1dc2f92131473c8b61fe0a79
• e1fb7e53a0ecb6a7d584c13b2c957aba
• e91e0152f099dddf2570ce4f8d8e250a
• eb20a1c4a8d12af1e4846e08b5287ef0

SHA1

• 1078c587fe2b246d618af74d157f941078477579
• 2664593e2f5dcfda9aaa1a2df7c4ce7eeb1edbb6
• 41fe2efb38e0c7dd10e6009a68bd26687d6dbf4c
• 60d592765b0f4e08078d42b2f3de4f5767f88773
• 65a8d221b9eced76b9c17a3e1992df9b085cecd7
• 6ef845938f064de39f4bf6450119a0cdbb61378c
• 8e6c07f38ef920b5154fd081ba252b9295e8184d
• 8ebbbc9eb54e216effb437a28b9f2c7c9da3a0fa
• a5948e1e45d50a8db063d7dfa5b6f6e249f61652
• ad3c590d1c0963d62702445e8108db025eebec70
• b6c340549700470c651031865c2772d3a4c81310
• ebf794e421be60c9532091eb432c1977517d1be5
• f81de9584f0bf3e55c6cf1b465f00b2671daa230
• f95f26f1c097d4ca38304ecc692dbac7424a5e8d

SHA256

• 1088e05e19356a6f665e55dc3863b967c24003c82b62b4e4249f723008947ccd
• 10e80c3cb685aeb0cc217ef8acaec2e3bc69ddb6469f36ef1162b1bec76092b6
• 335b1cd7708284fc1c2c6678f2f8d6737d68935ec992d680ff540f2e72774665
• 5604351016bd77d44c6149ce4ab856f60821080a1bebcacdee36cd4eeae02393
• 57a7ad6857195a84d05d10e0905911ac619607c6337cc9f642bd3b3074a6782d
• 6206f7f45eadf58fc4d2b10ec24932a6ad322321a322039b4dfbafe0660eb488
• 625e4c166c7a1d5a1becf56b27d4f76a2f95935cbd8d556c30a493263d10dbf8
• 6bdc7e1ffe86d3c0fa17358947d2f20278c72211d927dca81d980a9c9f1b55c2
• 74eef64f747d3fd02a24157424cacdf6e20ffb00d37fdb655875a3784737ad8a
• 7ae050f3b7ca48087c0f2452653ba38c1aa7c93bd306d37b5c8c1191e760e2ba
• a93791d23a711ae1583a0ce5dfdd30f434232af1ee76431ca504c3c978b54833
• b48a20f6a9015bec667f0c3ed2ff77d050081cd1432fc15ec29aed43c76d94a6
• dac7b08a624c0144e1baa929d455168fa45263475e1e9529346923a07c6377e3
• fa50558bcf8ab396491bed342052b714cb9854bf990de1e2a9cc51c5a445bbc3