🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um suposto cluster de atividades de ameaças alinhado à China foi observado explorando o software de webmail Roundcube pertencente aos departamentos de física e engenharia de universidades dos EUA e do Canadá como parte de uma nova campanha.
A atividade envolve a exploração de falhas de segurança críticas, agora corrigidas, na solução de e-mail de código aberto, como CVE-2024-42009 (pontuação CVSS: 9,3), para desviar credenciais, seguida pela implantação de um web shell para acesso persistente ou de uma ferramenta pós-exploração conhecida chamada VShell.
O cluster de ameaças emergentes está sendo rastreado pela Proofpoint sob o nome UNK_MassTraction. Foi detectado pela primeira vez em maio de 2026, concentrando-se especificamente em administradores e professores de departamentos com laços de segurança nacional ou entidades que estudam astrofísica e física de partículas.
“Os e-mails direcionados aos departamentos universitários usaram remetentes comprometidos, bem como domínios abusados e vulneráveis à falsificação devido à política frouxa do DMARC para enviar os e-mails”, escreveu a empresa de segurança corporativa em um relatório técnico compartilhado com o The Hacker News, acrescentando que o uso de iscas genéricas indica uma “faixa de segmentação maior” além de sua visibilidade.
Embora a natureza da exploração de cross-site scripting (XSS) seja tal que exige apenas que o destinatário abra o e-mail no cliente Roundcube para obter acesso ao servidor de e-mail, avalia-se que os departamentos visados foram escolhidos porque todos executavam versões do Roundcube suscetíveis a falhas de segurança de N dias.
Isso indica que o agente da ameaça provavelmente realizou um reconhecimento preparatório desses alvos para coletar informações sobre seus ambientes antes de enviar e-mails de phishing que acionam uma exploração para CVE-2024-42009 e executam código JavaScript arbitrário no contexto do navegador da vítima.
“O ator provavelmente está abusando dos servidores Roundcube como um ponto central para entrar nas redes alvo, e as operadoras criaram deliberadamente sua cadeia de infecção para evitar a detecção”, disseram os pesquisadores da Proofpoint Greg Lesnewich e Mark Kelly.
A carga entregue após a exploração da falha XSS, codinome IceCube, foi projetada para desviar informações de credenciais armazenadas no navegador junto com autenticação de dois fatores (2FA) e cookies. Ele também realiza reconhecimento próprio para coletar informações sobre o idioma do navegador, tamanho da tela e valores dos campos do formulário. tamanho da tela e valores dos campos do formulário.
As informações coletadas são enviadas para um sistema externo por meio de uma solicitação HTTP POST. Na próxima etapa, o IceCube aproveita o token CSRF da sessão para armar uma segunda falha de execução remota de código pós-autenticada no Roundcube - CVE-2025-49113 (pontuação CVSS: 9,9) - com o objetivo de obter uma posição segura no servidor de e-mail e descartar o VShell ou um web shell chamado SquareShell na memória.
O web shell, implantado por meio de um comando PHP gadget shell, pode ser acessado remotamente no endpoint "plugins/newmail_notifier/mail_preview.php" e permite a execução arbitrária de código. No entanto, se a instalação do web shell falhar por algum motivo, a cadeia de ataque volta para um mecanismo alternativo no qual um script de shell é executado por meio da vulnerabilidade Roundcube para finalmente entregar o VShell.
Diz-se que o método secundário foi introduzido em junho de 2026, quando anteriormente a cadeia de ataque simplesmente seria encerrada caso não fosse possível implantar o SquareShell. O shell script atua como um canal para um carregador ELF conhecido como SNOWLIGHT e foi utilizado em outras invasões orquestradas por adversários chineses. O uso do SNOWLIGHT e do VShell foi vinculado a um cluster ligado à China, rastreado como UNC5174 no passado.
Isto sugere que o script de shell é possivelmente compartilhado por vários clusters do nexo da China em capacidade privada, semelhante ao ShadowPad e outras ferramentas. A principal responsabilidade do script é buscar uma versão do SNOWLIGHT que seja compatível com a arquitetura do sistema host e então executá-la.
“O IceCube também configura o que chama de ‘gatilhos diferidos’ para garantir a continuação da cadeia de infecção”, disse Proofpoint. “Os gatilhos diferidos monitoram se o usuário fecha a página ou muda de aba, verifica se o mouse sai da janela do navegador e sequestra o botão de logout.”
"Se alguma dessas ações for tomada, o IceCube captura esses eventos e tenta novamente a exploração do CVE-2025-49113, e sinaliza para o C&C [comando e controle] que o usuário deixou a sessão do Roundcube."
Ao concluir essas ações ou atingir o tempo limite, o malware JavaScript destrói as sessões iniciadas pelo usuário e pelo malware no servidor, fazendo com que o usuário efetue logout e apague as evidências forenses associadas ao comprometimento do servidor Roundcube.
Escrito em Go, VShell é uma ferramenta de administração remota que fornece recursos pós-comprometimento semelhantes ao Cobalt Strike. Tem sido utilizado
A atividade envolve a exploração de falhas de segurança críticas, agora corrigidas, na solução de e-mail de código aberto, como CVE-2024-42009 (pontuação CVSS: 9,3), para desviar credenciais, seguida pela implantação de um web shell para acesso persistente ou de uma ferramenta pós-exploração conhecida chamada VShell.
O cluster de ameaças emergentes está sendo rastreado pela Proofpoint sob o nome UNK_MassTraction. Foi detectado pela primeira vez em maio de 2026, concentrando-se especificamente em administradores e professores de departamentos com laços de segurança nacional ou entidades que estudam astrofísica e física de partículas.
“Os e-mails direcionados aos departamentos universitários usaram remetentes comprometidos, bem como domínios abusados e vulneráveis à falsificação devido à política frouxa do DMARC para enviar os e-mails”, escreveu a empresa de segurança corporativa em um relatório técnico compartilhado com o The Hacker News, acrescentando que o uso de iscas genéricas indica uma “faixa de segmentação maior” além de sua visibilidade.
Embora a natureza da exploração de cross-site scripting (XSS) seja tal que exige apenas que o destinatário abra o e-mail no cliente Roundcube para obter acesso ao servidor de e-mail, avalia-se que os departamentos visados foram escolhidos porque todos executavam versões do Roundcube suscetíveis a falhas de segurança de N dias.
Isso indica que o agente da ameaça provavelmente realizou um reconhecimento preparatório desses alvos para coletar informações sobre seus ambientes antes de enviar e-mails de phishing que acionam uma exploração para CVE-2024-42009 e executam código JavaScript arbitrário no contexto do navegador da vítima.
“O ator provavelmente está abusando dos servidores Roundcube como um ponto central para entrar nas redes alvo, e as operadoras criaram deliberadamente sua cadeia de infecção para evitar a detecção”, disseram os pesquisadores da Proofpoint Greg Lesnewich e Mark Kelly.
A carga entregue após a exploração da falha XSS, codinome IceCube, foi projetada para desviar informações de credenciais armazenadas no navegador junto com autenticação de dois fatores (2FA) e cookies. Ele também realiza reconhecimento próprio para coletar informações sobre o idioma do navegador, tamanho da tela e valores dos campos do formulário. tamanho da tela e valores dos campos do formulário.
As informações coletadas são enviadas para um sistema externo por meio de uma solicitação HTTP POST. Na próxima etapa, o IceCube aproveita o token CSRF da sessão para armar uma segunda falha de execução remota de código pós-autenticada no Roundcube - CVE-2025-49113 (pontuação CVSS: 9,9) - com o objetivo de obter uma posição segura no servidor de e-mail e descartar o VShell ou um web shell chamado SquareShell na memória.
O web shell, implantado por meio de um comando PHP gadget shell, pode ser acessado remotamente no endpoint "plugins/newmail_notifier/mail_preview.php" e permite a execução arbitrária de código. No entanto, se a instalação do web shell falhar por algum motivo, a cadeia de ataque volta para um mecanismo alternativo no qual um script de shell é executado por meio da vulnerabilidade Roundcube para finalmente entregar o VShell.
Diz-se que o método secundário foi introduzido em junho de 2026, quando anteriormente a cadeia de ataque simplesmente seria encerrada caso não fosse possível implantar o SquareShell. O shell script atua como um canal para um carregador ELF conhecido como SNOWLIGHT e foi utilizado em outras invasões orquestradas por adversários chineses. O uso do SNOWLIGHT e do VShell foi vinculado a um cluster ligado à China, rastreado como UNC5174 no passado.
Isto sugere que o script de shell é possivelmente compartilhado por vários clusters do nexo da China em capacidade privada, semelhante ao ShadowPad e outras ferramentas. A principal responsabilidade do script é buscar uma versão do SNOWLIGHT que seja compatível com a arquitetura do sistema host e então executá-la.
“O IceCube também configura o que chama de ‘gatilhos diferidos’ para garantir a continuação da cadeia de infecção”, disse Proofpoint. “Os gatilhos diferidos monitoram se o usuário fecha a página ou muda de aba, verifica se o mouse sai da janela do navegador e sequestra o botão de logout.”
"Se alguma dessas ações for tomada, o IceCube captura esses eventos e tenta novamente a exploração do CVE-2025-49113, e sinaliza para o C&C [comando e controle] que o usuário deixou a sessão do Roundcube."
Ao concluir essas ações ou atingir o tempo limite, o malware JavaScript destrói as sessões iniciadas pelo usuário e pelo malware no servidor, fazendo com que o usuário efetue logout e apague as evidências forenses associadas ao comprometimento do servidor Roundcube.
Escrito em Go, VShell é uma ferramenta de administração remota que fornece recursos pós-comprometimento semelhantes ao Cobalt Strike. Tem sido utilizado
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #supostos #hackers #alinhados #à #china #exploram #falhas #do #roundcube #contra #universidades
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário