📰 Informação fresquinha chegando para você!

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Um cluster de ameaças ligado à China tem explorado servidores Roundcube vulneráveis ​​em universidades dos EUA e do Canadá para roubar credenciais e implantar malware backdoor.

A campanha tem sido observada desde maio e se concentra em departamentos de física e engenharia, administradores e professores, bem como em organizações envolvidas em astrofísica, física de partículas ou pesquisas relacionadas à segurança nacional.

Pesquisadores da empresa de segurança cibernética Proofpoint estão rastreando a atividade sob o nome ‘UNK_MassTraction’ e acreditam estar associada a um novo cluster de ameaças.



O ataque começa com um e-mail malicioso enviado de contas comprometidas ou domínios falsificados, usando uma isca genérica.

Exemplos de e-mails da campanhaFonte: Proofpoint

Abrir o e-mail em um cliente de webmail Roundcube vulnerável desencadeia a exploração de uma falha de script entre sites rastreada como CVE-2024-42009, que executa código JavaScript dentro do navegador da vítima, carregando uma carga chamada IceCube.

De acordo com os pesquisadores, o IceCube “é um ladrão Roundcube completo” que pode coletar nomes de usuários, senhas, cookies, dados de autenticação de dois fatores (2FA) e informações do navegador.

A Proofpoint diz que o malware usa “ajudantes” para explorar uma falha de desserialização do Roundcube rastreada como CVE-2025-49113 e tenta instalar o SquareShell, um webshell PHP que inclui recursos de execução remota de código.

Se for bem-sucedido, o invasor obtém a execução remota de código no servidor de e-mail; caso contrário, o malware baixa um script de shell que carrega outra carga útil, VShell, diretamente na memória.

VShell é um backdoor baseado em Go que suporta acesso interativo a shell e encaminhamento de porta, que é comumente usado por agentes de ameaças chineses.

Visão geral do fluxo de ataqueFonte: Proofpoint

Com base em várias observações, a Proofpoint avalia que UNK_MassTraction é provavelmente um ator de espionagem alinhado com a China.

Primeiro, a infraestrutura usada nos ataques se sobrepõe a uma rede VPS secreta anteriormente associada a vários atores ligados à China. Outra pista é a presença de artefatos em chinês em e-mails de phishing anteriores.

Finalmente, a tática de visar servidores de correio voltados para a Internet como ponto de apoio para acesso a redes internas é uma marca registrada dos ataques chineses.

Levando tudo em consideração, a Proofpoint enfatiza que a atribuição neste caso é apenas uma avaliação e definitivamente não é de alta confiança.

Uma descoberta interessante sobre o direcionamento específico desta campanha é que UNK_MassTraction parece ter servidores selecionados anteriormente considerados vulneráveis ​​a CVE-2024-42009 e CVE-2025-49113, portanto, algum reconhecimento foi realizado antes dos ataques.

Os administradores de sistemas Roundcube são aconselhados a aplicar as atualizações de segurança mais recentes que abordam as duas falhas e a tratar os servidores de e-mail com a mesma diligência que demonstram para VPNs e outros nós de acesso remoto.







Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o whitepaper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #hackers #exploram #falha #do #roundcube #para #espionar #pesquisadores #acadêmicos
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡

Post a Comment