駭客盯上電子郵件伺服器長時間未修補已知漏洞的情況,從過往針對微軟Exchange為主,最近3到4年逐漸針對Roundcube、Zimbra等郵件伺服器而來,雖然多半使用已知漏洞來達到目的,但也有利用零時差漏洞的情況。
例如,資安業者ESET揭露名為Operation RoundPress的攻擊行動,就是典型的例子。被稱為APT28、Fancy Bear、Forest Blizzard、Strontium的俄羅斯駭客組織,藉由電子郵件系統的跨網站指令碼(XSS)漏洞,於網頁介面注入惡意JavaScript指令碼SpyPress,針對政府機關與國防相關的公司而來,攻擊範圍主要為東歐,但也有在歐洲其他地區、非洲、南美洲發現遭到鎖定的目標,駭客透過惡意酬載竊取帳密,然後從使用者的信箱挖掘電子郵件及聯絡人資料。
而對於駭客鎖定的郵件伺服器系統,ESET指出,2023年這些駭客的主要目標是Roundcube,但2024年他們轉換標的,聚焦其他郵件伺服器平臺,包含Zimbra、Horde、MDaemon。以MDaemon為例,駭客特別使用尚未公開的零時差漏洞CVE-2024-11182(CVSS風險為5.3分)來達到目的。
這波攻擊行動何時浮出檯面?ESET最早在2023年9月29日偵測到相關釣魚郵件,當時駭客利用Roundcube於2週前修補的CVE‑2023‑43770(風險值6.1分)來從事活動,經過電子郵件信箱與伺服器IP位址的比對,他們確認攻擊者的身分,就是APT28。
不過,這些駭客最初並非使用這項漏洞從事攻擊,研究人員指出,他們一開始是使用另一個XSS已知漏洞CVE-2020-35730(風險值6.1分)來攻擊Roundcube伺服器,後續則利用其他已知XSS漏洞對不同的郵件伺服器下手,僅有CVE-2024-11182是零時差漏洞。
但無論利用的漏洞是哪一個,駭客都是透過惡意郵件觸發,一旦使用者透過網頁介面點選信件內容,駭客就能在郵件系統的網頁介面執行惡意JavaScript指令碼,並竊取收信人的電子郵件信箱存放的各式往來信件。
這些釣魚信多半看起來像新聞網站的電子報,且內容為當時的新聞時事,其中針對烏克蘭下手的釣魚信,駭客寄送了《基輔郵報(Kyiv Post)》電子報,而對於保加利亞組織發動攻擊的郵件,則是使用當地報社News.bg電子報為誘餌。值得留意的是,電子報新聞標題也確實會連結到正牌的新聞網站,真正有問題的惡意程式碼,則是埋藏在郵件的HTML程式碼當中,一般使用者根本無法從信件特徵來察覺異狀。
關於駭客使用的惡意酬載SpyPress,ESET指出,雖然此惡意軟體不會常駐執行,但只要受害者每次開啟有問題的信件,就會將其載入。此外,部分版本的SpyPress不只會搜刮受害者的信箱,還會設置過濾規則,將所有傳入的郵件轉寄給駭客。
熱門新聞
2025-06-16
2025-06-16
2025-06-13
2025-06-13
2025-06-13
2025-06-16
