جاسوسان هک سرورهای پستی با ارزش بالا با استفاده از بهره برداری از سالهای گذشته

بازیگران تهدید ، که احتمالاً توسط دولت روسیه پشتیبانی می شوند ، با بهره برداری از آسیب پذیری های XSS ، چندین سرور پستی با ارزش بالا در سراسر جهان هک کردند ، طبقه ای از اشکال که از جمله رایج ترین مورد سوء استفاده در دهه های گذشته بود.

XSS برای اسکریپت های متقابل سایت کوتاه است. آسیب پذیری ها ناشی از خطاهای برنامه نویسی موجود در نرم افزار WebServer است که در هنگام بهره برداری ، به مهاجمان اجازه می دهد تا کد مخرب را در مرورگرهای افرادی که از یک وب سایت آسیب دیده بازدید می کنند ، اجرا کنند. XSS برای اولین بار در سال 2005 با ایجاد کرم سامی مورد توجه قرار گرفت ، که وقتی بیش از یک میلیون دوست MySpace را به یک کاربر به نام سامی اضافه کرد ، MySpace را از کمیسیون بیرون کشید. XSS از دهه آینده سوءاستفاده می کند و اخیراً به تدریج از بین رفته است ، اگرچه این کلاس از حملات اکنون ادامه دارد.

فقط JavaScript را اضافه کنید

روز پنجشنبه ، شرکت امنیتی ESET گزارش داد که Sednit ، یک گروه هک شده تحت حمایت کرملین نیز به عنوان APT28 ، فانتزی خرس ، جنگل Blizzard و Sofacy-با بهره برداری از آسیب پذیری های XSS در نرم افزار سرور پستی از چهار سازنده مختلف ، دسترسی به حساب های ایمیل با ارزش بالا را دنبال کرد. این بسته ها عبارتند از: Roundcube ، Mdaemon ، Horde و Zimbra.

هک هایی که اخیراً سرورهای پستی مورد استفاده قرار می گیرند توسط پیمانکاران دفاعی در بلغارستان و رومانی مورد استفاده قرار می گیرند ، که برخی از آنها سلاح های دوران اتحاد جماهیر شوروی را برای استفاده در اوکراین تولید می کنند ، زیرا حمله به روسیه را از بین می برد. سازمان های دولتی در آن کشورها نیز مورد هدف قرار گرفتند. اهداف دیگر شامل دولت ها در آفریقا ، اتحادیه اروپا و آمریکای جنوبی است.

Roundpress ، همانطور که ESET این عملیات را نامگذاری کرده است ، از طریق ایمیل های Spearphishing بهره برداری XSS را تحویل داده است. مخفی در برخی از HTML در ایمیل ها یک بهره برداری XSS بود. در سال 2023 ، ESET مشاهده Sednit را از CVE-2020-43770 استفاده کرد ، آسیب پذیری که از آن زمان در Roundcube وصله شده است. یک سال بعد ، ESET تماشا کرد که Sednit از آسیب پذیری های مختلف XSS در Horde ، Mdaemon و Zimbra بهره برداری می کند. یکی از آسیب پذیری های در حال حاضر ، از Mdaemon ، یک روز صفر بود در آن زمان Sednit از آن سوء استفاده کرد.