Borítókép: roundcube.net/saját szerkesztés
Egy orosz kormányhoz köthető APT csoport kémkedett ukrajnai szervezetek, köztük kormányzati intézmények és katonai egységek után a nyílt forráskódú Roundcube szoftver biztonsági hibáinak kihasználásával.
A Recorded Future együttműködött az ukrán CERT csapatával az IoC-k feltárásában. A támadás során olyan scripteket használtak, amelyekkel át tudták irányítani az e-maileket, valamint session cookie-kat és felhasználói információkat tudtak gyűjteni. Olyan e-mailek megnyitására vették rá az áldozatokat, amelyek:
- Ukrajnával és a háborúval kapcsolatos híreket tartalmazott,
- a tárgy és a tartalom legitim forrásokból származtak,
- a csatolmányok káros JavaScript kódokat tartalmaztak.
A Recorded Future a támadásokról technikai részleteket is publikált, hogy segítse a szervezetek felkészülését a hasonló támadások kivédéséhez, illetve tanácsokkal lássa el a rendszerüzemeltetőket a hálózatvédelmi eszközök megfelelő konfigurálásához. A szakemberek kiemelik az e-mail csatolmányokban szereplő HTML és Javascript kódok korlátozásának, illetve a DNS rekordok (pl.: SPF vagy DKIM) ellenőrzésének fontosságát.
