Mastodon Mastodon Mastodon Mastodon

UNK_MassTraction: эксплуатация уязвимостей Roundcube для атак на физические факультеты университетов

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Предположительно связанная с Китаем группировка, отслеживаемая компанией Proofpoint как UNK_MassTraction, с мая 2026 года проводит целенаправленные атаки на почтовые серверы Roundcube физических и инженерных факультетов университетов США и Канады. Кампания эксплуатирует две критические уязвимости — CVE-2024-42009 (CVSS 9.3) и CVE-2025-49113 (CVSS 9.9) — для кражи учётных данных, развёртывания веб-оболочек и установки инструмента постэксплуатации VShell. Администраторам Roundcube необходимо немедленно проверить версии серверов и применить доступные патчи.

Цепочка эксплуатации: от открытия письма до контроля сервера

Атака начинается с фишинговых писем, отправленных с скомпрометированных учётных записей или через домены с некорректно настроенной политикой DMARC, что позволяет подделывать отправителя. Ключевая особенность — для срабатывания эксплойта достаточно открыть письмо в клиенте Roundcube. Уязвимость CVE-2024-42009 представляет собой XSS-уязвимость с оценкой CVSS 9.3, позволяющую выполнить произвольный JavaScript-код в контексте браузера жертвы.

По данным исследователей, атакующие предварительно проводили разведку целевых организаций, чтобы определить, какие из них используют уязвимые версии Roundcube. Это указывает на высокий уровень подготовки и целенаправленность кампании.

Полезная нагрузка IceCube

После эксплуатации XSS-уязвимости доставляется JavaScript-полезная нагрузка, получившая кодовое название IceCube. Её функции включают:

  • Кражу учётных данных, сохранённых в браузере, включая данные двухфакторной аутентификации и файлы cookie
  • Сбор информации о среде: язык браузера, размер экрана, значения полей форм
  • Эксфильтрацию собранных данных на внешний сервер через HTTP POST-запрос
  • Использование CSRF-токена сессии для эксплуатации второй уязвимости — CVE-2025-49113 (CVSS 9.9) — обеспечивающей удалённое выполнение кода после аутентификации

Примечательна реализация механизма «отложенных триггеров»: IceCube отслеживает закрытие страницы, переключение вкладок, выход курсора за пределы окна браузера и перехватывает кнопку выхода из системы. При любом из этих событий вредонос повторно пытается эксплуатировать CVE-2025-49113 и уведомляет командный сервер о завершении сессии пользователя.

Закрепление на сервере: SquareShell и VShell

Эксплуатация CVE-2025-49113 направлена на получение постоянного доступа к почтовому серверу. Основной метод — развёртывание веб-оболочки SquareShell в памяти, доступной по пути:

plugins/newmail_notifier/mail_preview.php

Эта веб-оболочка обеспечивает произвольное выполнение кода на сервере. Если её установка не удаётся, с июня 2026 года используется резервный механизм: выполняется shell-скрипт, загружающий ELF-загрузчик SNOWLIGHT, совместимый с архитектурой целевой системы. SNOWLIGHT, в свою очередь, доставляет VShell — инструмент удалённого администрирования, написанный на Go, функционально аналогичный Cobalt Strike.

По данным исследователей NVISO, VShell предоставляет широкий набор возможностей постэксплуатации и использовался различными группировками, предположительно связанными с Китаем.

Антифорензика

По завершении всех операций или при истечении тайм-аута IceCube уничтожает как пользовательские, так и созданные вредоносом сессии на сервере. Это приводит к принудительному выходу пользователя из системы и удалению следов компрометации с сервера Roundcube — целенаправленная мера противодействия расследованию.

Контекст угрозы и атрибуция

По данным исследователей Proofpoint, кампания целенаправленно нацелена на администраторов и профессоров факультетов, связанных с национальной безопасностью, а также занимающихся астрофизикой и физикой элементарных частиц. Использование общих приманок в фишинговых письмах, как сообщается, указывает на более широкий охват целей за пределами видимости исследователей.

Исследователи оценивают, что атакующие рассматривают почтовые серверы Roundcube как точку входа в целевые сети — аналогично тому, как эксплуатируются VPN-концентраторы и другие пограничные устройства. Цепочка заражения целенаправленно спроектирована для уклонения от обнаружения.

Следует отметить, что атрибуция кампании к китайским группировкам основана на данных одного вендора и не подтверждена независимыми источниками. Связь инструментария SNOWLIGHT и VShell с конкретными кластерами активности требует дополнительной верификации.

Оценка воздействия

Наибольшему риску подвержены организации, эксплуатирующие необновлённые экземпляры Roundcube, в первую очередь — образовательные учреждения, которые традиционно отличаются неоднородной ИТ-инфраструктурой и ограниченными ресурсами на кибербезопасность. Комбинация двух критических уязвимостей с оценками CVSS 9.3 и 9.9 делает эту цепочку атаки исключительно опасной: от открытия письма до полного контроля над сервером может пройти считанные секунды.

Компрометация почтового сервера даёт атакующим доступ ко всей переписке организации, что в случае факультетов с связями в области национальной безопасности создаёт риски утечки чувствительной информации.

Рекомендации по защите

  1. Обновите Roundcube до последней версии, устраняющей CVE-2024-42009 и CVE-2025-49113. Обе уязвимости имеют исправления — их применение является первоочередной мерой.
  2. Проверьте наличие индикаторов компрометации: обратите внимание на файл plugins/newmail_notifier/mail_preview.php — его наличие или модификация может указывать на развёрнутую веб-оболочку SquareShell.
  3. Настройте DMARC-политику с режимом reject или quarantine для предотвращения подделки отправителей через ваши домены.
  4. Внедрите мониторинг исходящих HTTP POST-запросов с почтового сервера к внешним узлам — это основной канал эксфильтрации данных в описанной кампании.
  5. Проведите аудит сессий на почтовом сервере: аномальные массовые завершения сессий могут указывать на активность антифорензических механизмов IceCube.
  6. Рассмотрите сегментацию сети, ограничивающую возможность использования почтового сервера как точки входа в остальную инфраструктуру.

Кампания UNK_MassTraction демонстрирует, что почтовые серверы остаются полноценным вектором проникновения в сеть, а не только средством доставки фишинга. Организациям, использующим Roundcube, следует немедленно обновить серверы до актуальных версий и проверить наличие файла plugins/newmail_notifier/mail_preview.php как потенциального индикатора компрометации. Почтовая инфраструктура заслуживает того же уровня защиты, что и VPN-шлюзы и другие пограничные устройства.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.