Уязвимости в Roundcube используются для слежки за учеными - «Новости»
- 14:30, 16-июл-2026
- Новости / Заработок / Отступы и поля / Вёрстка / Самоучитель CSS / Ссылки / Преимущества стилей / Интернет и связь
- Леонтий
- 0
Специалисты компании Proofpoint обнаружили шпионскую кампанию, участники которой взламывают почтовые серверы Roundcube в университетах США и Канады. Атакующие похищают учетные данные исследователей, а затем стремятся закрепиться на серверах с помощью веб-шелла и бэкдора.
По данным исследователей, эта кампания, которую отслеживают под идентификатором UNK_MassTraction, активна как минимум с мая 2026 года. Среди основных целей хакеров — факультеты физики и инженерных наук, университетские администраторы и профессора, а также организации, которые занимаются астрофизикой, физикой элементарных частиц и исследованиями, связанными с национальной безопасностью. В Proofpoint считают, что за атаками стоит новый кластер вредоносной активности, предположительно связанный с Китаем.
Атаки начинаются с фишинговых писем с типовой приманкой, которые хакеры рассылают от лица взломанных аккаунтов или с доменов, имитирующих легитимные. Пользователю даже не требуется переходить по ссылке или открывать вложение: сам просмотр письма в уязвимой версии Roundcube запускает эксплуатацию старого XSS-бага CVE-2024-42009.
С помощью этой уязвимости злоумышленники выполняют jаvascript в браузере жертвы и загружают пейлоад IceCube, который исследователи называют полноценным стилером для Roundcube. В частности, эта малварь ворует логины, пароли, файлы cookie, данные двухфакторной аутентификации и информацию о браузере.
Однако кражей учетных данных атака не ограничивается. После сбора данных IceCube использует вспомогательные компоненты для эксплуатации критической уязвимости десериализации в Roundcube — CVE-2025-49113. С ее помощью атакующие пытаются установить PHP-веб-шелл SquareShell, который позволяет удаленно выполнять команды.
Если эксплуатация проходит успешно, хакеры добиваются RCE на почтовом сервере. В противном случае малварь загружает шелл-скрипт, который запускает прямо в памяти VShell — написанный на Go бэкдор, поддерживающий открытие интерактивного шелла и проброс портов. По данным аналитиков, этот инструмент часто встречается в операциях китайских хак-групп.
В компании отмечают, что на возможную связь этих атак с Китаем указывают сразу несколько факторов. Так, инфраструктура злоумышленников пересекается со скрытой сетью VPS, которую ранее уже связывали с китайскими хак-группами. Кроме того, в ранних фишинговых письмах были замечены артефакты на китайском языке. Также китайские хакеры регулярно взламывают доступные через интернет почтовые серверы, чтобы использовать их как точку входа во внутренние сети организаций.
Предполагается, что перед атаками злоумышленники проводили разведку и искали в сети серверы, уязвимые перед CVE-2024-42009 и CVE-2025-49113, и только потом адресно отправляли письма пользователям.
















Комментарии (0)