详细内容或原文请订阅后点击阅览

操作旋转板

2025年5月15日 07:22 33 Comments
X Twitter Instagram Mail

ESET研究人员发现了针对WebMail服务器的俄罗斯一致的间谍操作,该操作通过XSS漏洞

来源:WeLiveSecurity _恶意软件

此Blogpost介绍了我们将其命名为Roundpress的操作,该操作针对具有XSS漏洞的高价值WebMail服务器,并且我们以中等信心评估的是Sedn​​it Cyber​​espionage Group。此操作的最终目标是从特定的电子邮件帐户中窃取机密数据。

Key points of this blogpost:In Operation RoundPress, the compromise vector is a spearphishing email leveraging an XSS vulnerability to inject malicious JavaScript code into the victim’s webmail page.In 2023, Operation RoundPress only targeted Roundcube, but in 2024 it expanded to other webmail software including Horde, MDaemon, and Zimbra.For MDaemon, Sednit used a零日XSS漏洞。我们报道了2024年11月1日对开发商的脆弱性,并在版本24.5.1中进行了修补。大多数受害者是东欧的政府实体和国防公司,尽管我们观察到了非洲,欧洲和南美的政府,我们也是针对的。 spypress.zimbra.这些有效载荷能够窃取网络邮件凭据,并从受害人的邮箱中渗透联系人和电子邮件消息。

此博客的要点:

  • 在往返操作中,折衷向量是一条矛盾的电子邮件,利用XSS漏洞将恶意的JavaScript代码注入受害者的网络邮件页面。
  • 在2023年,Roundpress仅针对Roundpube,但在2024年,它扩展到了其他网络邮件软件,包括Horde,Mdaemon和Zimbra。
  • 对于Mdaemon,Sednit使用了零日XSS漏洞。我们报告了2024年11月1日对开发人员的脆弱性,并在版本24.5.1中进行了修补。
    • st
  • 我们提供了JavaScript有效载荷Spypress.Horde,Spypress.mdaemon,Spypress.RouddCube和spypress.zimbra的分析。

    • sednit个人资料

    白皮书

    链接到sednit

    th 日期 x
    政府 Roundpress Horde 邮件 漏洞 受害者 Operation 电子邮件 服务器 渗透 开发人员 有效载荷 窃取 特定的 操作 XSS Spypress 2024 高价值 网络 操作的 脆弱性 联系人 白皮书 评估的 JavaScript 开发商