CERT Polska зафиксировала целевую фишинговую кампанию против польских организаций, в ходе которой злоумышленники использовали уязвимость CVE-2024-42009 в почтовом клиенте Roundcube. Эксплуатация этой уязвимости позволяет выполнять произвольный JavaScript-код при открытии письма, что приводит к краже учетных данных пользователей.
Описание
Кампания, по данным технических индикаторов, с высокой вероятностью связана с группой UNC1151.
Атака начиналась с отправки писем с привлекательным заголовком, например: "[!IMPORTANT] Invoice to reservation number: S2500650676". Получателю предлагалось срочно обработать прикрепленный документ, но для компрометации достаточно было просто открыть письмо. Внутри содержался вредоносный JavaScript, использующий уязвимость CVE-2024-42009, которая связана с недостаточной санитизацией HTML-кода в Roundcube.
Особенностью этой атаки стало использование технологии Service Workers, позволяющей злоумышленникам перехватывать учетные данные при входе в почту. После установки вредоносного скрипта в браузере жертвы все попытки авторизации перехватывались и отправлялись на сервер злоумышленников.
Эксперты отмечают, что недавно обнаруженная уязвимость CVE-2025-49113 в Roundcube, позволяющая аутентифицированному злоумышленнику выполнить произвольный код на сервере, может усилить подобные атаки, хотя пока случаев ее эксплуатации не зафиксировано.
В случае успешного заражения злоумышленники не только получали доступ к почтовым ящикам, но и анализировали их содержимое, скачивали контакты и рассылали новые фишинговые письма. CERT Polska рекомендует организациям, использующим Roundcube, немедленно обновить систему до последней версии и усилить мониторинг подозрительной активности.
Индикаторы компрометации
IPv6
- 2001:67c:e60:c0c:192:42:116:216
Domains
- a.mpk-krakow.pl
Emails
SHA256
- 70cea07c972a30597cda7a1d3cd4cd8f75acad75940ca311a5a2033e6a1dd149
