Главная страница » Индикаторы компрометации
0
2 часа
Индикаторы компрометации

Операция RoundPress: российская хакерская группа атакует почтовые серверы через XSS-уязвимости

security

Исследователи ESET раскрыли кибершпионскую операцию RoundPress, которую связывают с российской группировкой Sednit (APT28, Fancy Bear). Целью атак стали веб-почтовые серверы государственных учреждений и оборонных предприятий в Восточной Европе, Африке и Южной Америке.

Описание

Ключевые факты

  • Метод атаки: Фишинговые письма с XSS-эксплойтами, внедряющими вредоносный JavaScript в интерфейс веб-почты.
  • Цели: Кража учетных данных, перехват писем и контактов, обход двухфакторной аутентификации (2FA).
  • Уязвимости: Использовались CVE-2023-43770 (Roundcube), CVE-2024-11182 (MDaemon, zero-day) и другие.

Жертвы

  • Украина (военные, госструктуры).
  • Болгария и Румыния (оборонные компании, производящие оружие для Украины).
  • Греция, Сербия, Камерун, Эквадор (правительственные организации).

Как работают атаки?

Фишинговые письма

  • Злоумышленники рассылают письма с темами, имитирующими новости (например, о действиях СБУ или политике России).
  • В теле письма скрыт XSS-код, активирующийся при открытии в уязвимом веб-интерфейсе почты.

Вредоносные скрипты (SpyPress)

  • SpyPress.MDAEMON: Крадет данные, отключает 2FA и создает резервные пароли для доступа к почте.
  • SpyPress.ROUNDCUBE: Пересылает все входящие письма на контролируемый злоумышленниками адрес.
  • SpyPress.ZIMBRA: Экспортирует контакты и перехватывает переписку.

Эксплуатация уязвимостей

  • В MDaemon использовался zero-day (CVE-2024-11182), обнаруженный Sednit.
  • В Roundcube и Zimbra применялись уже известные, но не закрытые уязвимости.

Связь с группировкой Sednit

  • Sednit (APT28) — одна из самых активных российских хакерских групп.
  • Ранее атаковала Демократическую партию США (2016), Всемирное антидопинговое агентство (WADA) и телеканал TV5Monde.
  • В Operation RoundPress использовались те же C2-серверы, что и в прошлых кампаниях Sednit.

Операция RoundPress демонстрирует, как даже старые уязвимости могут использоваться для масштабных атак. Sednit продолжает адаптироваться, расширяя арсенал и цели.

Индикаторы компрометации

IPv4

  • 111.90.151.167
  • 146.70.125.79
  • 185.195.237.106
  • 185.225.69.223
  • 193.29.104.152
  • 45.137.222.24
  • 89.44.9.74
  • 91.237.124.153
  • 91.237.124.164

Domains

  • hfuu.de
  • hijx.xyz
  • ikses.net
  • jiaw.shop
  • lsjb.digital
  • raxia.top
  • rnl.world
  • sqj.fr
  • tgh24.xyz
  • tuo.world

MD5

  • 54756f7edb89d7183315c1f5c4f34b96
  • 75d132dc9533ec8d59ad957bdf94b360
  • 8cee36ce663c0bb8fef413f90da9b5ce
  • 8dfecaaff88e33af7e78fcf8251a12a3
  • 9280def0cec100bca5d42472b114d8c7
  • 94e329e01786aff8a7770fa377c0f96d
  • a397616ac811ba808d20cf8ed981eb2f
  • a75c4f392ee3bd8d21c5c93ad6a5f4e9
  • bc88c621b38b0a45fef3e758c591a908
  • bee09e3995f719edc8e389a112b2fc73
  • c9bb17ae1dc2f92131473c8b61fe0a79
  • e1fb7e53a0ecb6a7d584c13b2c957aba
  • e91e0152f099dddf2570ce4f8d8e250a
  • eb20a1c4a8d12af1e4846e08b5287ef0

SHA1

  • 1078c587fe2b246d618af74d157f941078477579
  • 2664593e2f5dcfda9aaa1a2df7c4ce7eeb1edbb6
  • 41fe2efb38e0c7dd10e6009a68bd26687d6dbf4c
  • 60d592765b0f4e08078d42b2f3de4f5767f88773
  • 65a8d221b9eced76b9c17a3e1992df9b085cecd7
  • 6ef845938f064de39f4bf6450119a0cdbb61378c
  • 8e6c07f38ef920b5154fd081ba252b9295e8184d
  • 8ebbbc9eb54e216effb437a28b9f2c7c9da3a0fa
  • a5948e1e45d50a8db063d7dfa5b6f6e249f61652
  • ad3c590d1c0963d62702445e8108db025eebec70
  • b6c340549700470c651031865c2772d3a4c81310
  • ebf794e421be60c9532091eb432c1977517d1be5
  • f81de9584f0bf3e55c6cf1b465f00b2671daa230
  • f95f26f1c097d4ca38304ecc692dbac7424a5e8d

SHA256

  • 1088e05e19356a6f665e55dc3863b967c24003c82b62b4e4249f723008947ccd
  • 10e80c3cb685aeb0cc217ef8acaec2e3bc69ddb6469f36ef1162b1bec76092b6
  • 335b1cd7708284fc1c2c6678f2f8d6737d68935ec992d680ff540f2e72774665
  • 5604351016bd77d44c6149ce4ab856f60821080a1bebcacdee36cd4eeae02393
  • 57a7ad6857195a84d05d10e0905911ac619607c6337cc9f642bd3b3074a6782d
  • 6206f7f45eadf58fc4d2b10ec24932a6ad322321a322039b4dfbafe0660eb488
  • 625e4c166c7a1d5a1becf56b27d4f76a2f95935cbd8d556c30a493263d10dbf8
  • 6bdc7e1ffe86d3c0fa17358947d2f20278c72211d927dca81d980a9c9f1b55c2
  • 74eef64f747d3fd02a24157424cacdf6e20ffb00d37fdb655875a3784737ad8a
  • 7ae050f3b7ca48087c0f2452653ba38c1aa7c93bd306d37b5c8c1191e760e2ba
  • a93791d23a711ae1583a0ce5dfdd30f434232af1ee76431ca504c3c978b54833
  • b48a20f6a9015bec667f0c3ed2ff77d050081cd1432fc15ec29aed43c76d94a6
  • dac7b08a624c0144e1baa929d455168fa45263475e1e9529346923a07c6377e3
  • fa50558bcf8ab396491bed342052b714cb9854bf990de1e2a9cc51c5a445bbc3
Комментарии: 0
Похожие записи
0
2 часа
Индикаторы компрометации

Оценка группы угроз: Muddled Libra

security
Группа Muddled Libra является динамичной и изменчивой, постоянно расширяя свои навыки и инструментарий для проведения атак. Их тактика включает в себя использование социальной инженерии, фишинга, взлома
0
3 дня
Индикаторы компрометации

Общие ключи SSH раскрывают скоординированную фишинговую кампанию, направленную на рыбный и телекоммуникационный секторы Кувейта

phishing
Исследователи компании Hunt.io обнаружили активную фишинговую операцию, ориентированную на рыболовный, телекоммуникационный и страховой секторы Кувейта.
0
5 дней
Индикаторы компрометации

TA406 начал атаковать правительственные организации

security
Группа TA406 начала атаки на правительственные организации в Украине в феврале 2025 года, используя фишинговые кампании для сбора учетных данных и распространения вредоносного ПО.
0
5 дней
Индикаторы компрометации

Earth Ammit нарушает цепочки поставок дронов с помощью скоординированных многоволновых атак на Тайване

security
Компания Trend Micro Research обнаружила развивающуюся угрозу игрока Earth Ammit, связанную с китайскоязычными APT-группами, которая запустила кампании TIDRONE и VENOM в 2023-2024 годах.