
یک گروه تهدید مرتبط با روسیه به عملیات جاسوسی سایبری به نام Operation RoundPress متهم شده که از طریق آسیبپذیریهای XSS سرورهای وبمیل مانند Roundcube، Horde، MDaemon و Zimbra را هدف قرار میدهد. این عملیات که از سال ۲۰۲۳ آغاز شده، با اطمینان متوسط به گروه APT28 (که با نامهای مختلفی مانند Fancy Bear و Sofacy نیز شناخته میشود) نسبت داده شده است. هدف اصلی این عملیات سرقت دادههای محرمانه از حسابهای ایمیل خاص است و بیشتر قربانیان نهادهای دولتی و شرکتهای دفاعی در اروپای شرقی هستند.
مهاجمان از آسیبپذیریهای XSS در این پلتفرمها برای اجرای کد JavaScript مخرب استفاده میکنند و بدافزاری به نام SpyPress را مستقر میکنند که قابلیت سرقت اعتبارنامههای وبمیل، پیامهای ایمیل و اطلاعات تماس را دارد. این حملات شامل استفاده از یک آسیبپذیری zero-day در MDaemon (CVE-2024-11182) نیز بوده است. بدافزار از طریق ایمیلهای فیشینگ ارسال میشود و زمانی که قربانی ایمیل آلوده را در پورتال وبمیل باز میکند، کد مخرب اجرا شده و اطلاعات سرقت شده به سرورهای کنترل مهاجمان ارسال میشود.
کلمات کلیدی : جاسوسی سایبری, آسیبپذیری XSS, بدافزار SpyPress, APT28, سرقت داده, حملات فیشینگ
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.