記事本文(要約)
ESETの新たな調査によると、ロシア関連の脅威グループAPT28が、Roundcube、Horde、MDaemon、ZimbraのWebメールサーバーを標的にしたサイバー攻撃「Operation RoundPress」を実施しています。この攻撃はクロスサイトスクリプティング(XSS)脆弱性を悪用し、特にMDaemonにおけるゼロデイ脆弱性(CVE-2024-11182, CVSSスコア: 5.3)も含まれています。攻撃の主な目的は特定のメールアカウントから機密データを盗むことで、多くの標的は東ヨーロッパの政府機関や防衛企業です。
攻撃手法として、メール経由でXSSエクスプロイトを送付し、ウェブメールクライアント内で悪意あるJavaScriptコードを実行します。このコードによって、SpyPressというペイロードが実行され、被害者のメール認証情報やメール内容などが盗まれます。また、RoundcubeではSieveルールを作成し、攻撃者が管理するメールアドレスにメールのコピーを送信する機能も確認されています。攻撃者はこれらの脆弱性を利用して外部からメールを送信するだけで、アップデートされていないWebメールサーバーの情報を容易に盗むことができます。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 15 May 2025 15:35:00 +0530
Original URL: https://thehackernews.com/2025/05/russia-linked-apt28-exploited-mdaemon.html
詳細な技術情報
この文章は、ロシアと関連付けられるAPT28(複数の別名: BlueDelta, Fancy Bear, etc.)によるサイバー諜報活動「Operation RoundPress」についての報告を示しています。この活動は、Roundcube、Horde、MDaemon、Zimbraなどのウェブメールサーバーをターゲットにしたクロスサイトスクリプティング(XSS)脆弱性を利用しています。
脆弱性の詳細:
- CVE番号:
- Roundcube: CVE-2020-12641, CVE-2020-35730, CVE-2021-44026
- MDaemon: CVE-2024-11182(新たに遭遇したゼロデイ脆弱性)、CVSSスコア: 5.3
- Zimbra: CVE-2024-27443
- 新たなCVE: CVE-2023-43770
- 脆弱性の仕組み:
- XSS脆弱性を利用して、ウェブメールクライアント内で任意のJavaScriptコードが実行される。この攻撃により、特定のメールアカウントにアクセスし、重要なデータが盗まれる危険性があります。
攻撃手法:
- 攻撃者は、スピアフィッシングメールを通じてXSSエクスプロイトを送信します。このメールには一般的には無害な内容が含まれていますが、HTMLコード内に悪質なJavaScriptコードが埋め込まれています。
- 頻出するペイロード「SpyPress」は、被害者のメールアカウントから情報を収集し、収集データをC2サーバーに送信します。
潜在的な影響:
- 政府機関や防衛産業から機密データが盗まれる可能性が高い。
- 被害組織にはウクライナの政府機関やブルガリア、ルーマニアの防衛企業、及びギリシャ、カメルーン、エクアドル、セルビア、キプロスの政府、軍事、学術団体があります。
- スパイウェアにより認証情報やメール履歴が盗まれ、さらに攻撃者が持続的なアクセスを得ることが可能です。
推奨される対策:
- パッチの適用: 脆弱性に対応するソフトウェアパッチを迅速に適用する。特に、ゼロデイとして利用されたMDaemonのバージョン24.5.1へのアップデートが重要です。
- スパムフィルターの強化: スパムフィルターを強化し、フィッシングメールの検出率を向上させる。
- ユーザー教育: メールリンクをクリックする際のリスクについて、ユーザーへの教育を徹底する。
- ウェブメールサーバーの監視: 異常なアクティビティを検知するために、ウェブメールサーバーのログとトラフィックを定期的に監視する。
- セキュリティ施策の総合的評価: 他のセキュリティプロトコル(例: 2段階認証やIPレピュテーション)を再評価し、必要な改善を図る。
