أعلنت شركة Hunt.io عن العثور على مجموعة أدوات استغلال خاصة بـ Roundcube في دليل مكشوف على الإنترنت مرتبط بالعنوان 203.161.50[.]145. هذا الاكتشاف يأتي في سياق سلسلة هجمات متكررة شنها مهاجمون روس مثل APT28 وWinter Vivern وTAG-70 ضد مؤسسات أوكرانية عبر ثغرات Roundcube.
مكونات مجموعة Roundish
الأدوات المكتشفة، التي أُطلق عليها اسم Roundish، تضمنت:
- حمولات XSS للتطوير والإنتاج.
- خادم تحكم وسيطرة مبني على Flask.
- أدوات حقن CSS.
- سجل أوامر Bash للمشغلين.
- زرع برمجية خبيثة مكتوبة بـ Go على تطبيق ويب أوكراني مخترق.
قدرات Roundish تشمل: سرقة بيانات الاعتماد، إنشاء قواعد لإعادة توجيه البريد بشكل دائم، استخراج البريد الإلكتروني بكميات كبيرة، سرقة دفاتر العناوين، واستخراج أسرار المصادقة الثنائية (2FA).
تقنيات جديدة
بجانب التشابه مع عمليات Operation RoundPress السابقة، قدمت Roundish أربع مكونات جديدة لم تُوثق سابقاً في نشاط APT28، منها:
- وحدة جانبية تعتمد على CSS لاستخراج الرموز تدريجياً من DOM دون حقن JavaScript.
- أداة لسرقة بيانات الاعتماد من المتصفح.
- باب خلفي مكتوب بـ Go يوفر استمرارية عبر cron وsystemd وSELinux.
تقنية حقن CSS يُرجح استخدامها لاستهداف رموز CSRF أو معرفات البريد الإلكتروني (UIDs).
الأهداف الرئيسية
أحد الأهداف الأساسية للهجوم هو mail.dmsu.gov[.]ua، وهو نظام بريد ويب Roundcube تابع لـ خدمة الهجرة الحكومية الأوكرانية (DMSU).
الحمولة الأساسية لـ XSS مصممة لسرقة البريد الإلكتروني للضحية، جمع بيانات الاعتماد، إعادة توجيه جميع الرسائل الواردة إلى بريد Proton Mail، تصدير بيانات البريد من مجلدات Inbox وSent، وجمع دفتر العناوين بالكامل.
دلالات دفاعية
بحسب Hunt.io، فإن مجرد إعادة تعيين كلمات المرور لا يكفي لمواجهة مثل هذه الهجمات. يجب مراجعة قواعد إعادة توجيه البريد، فلاتر Sieve، وأسرار المصادقة الثنائية وإعادة ضبطها.
النهج المعياري الذي يجمع بين سرقة بيانات الاعتماد، إعادة توجيه البريد، استخراج البريد بكميات كبيرة، وسرقة بيانات المتصفح يعكس استراتيجية تهدف إلى الوصول المستمر وطويل الأمد.
