В сентябре 2024 года специалисты по кибербезопасности из компании Positive Technologies обнаружили попытку целенаправленной атаки на государственную организацию в одной из стран СНГ. Злоумышленники использовали недавно выявленную уязвимость CVE-2024-37383 в популярном почтовом клиенте Roundcube Webmail. Этот инцидент подчеркивает важность своевременного обновления программного обеспечения и бдительности при работе с электронной почтой.
Анатомия атаки: как работает эксплойт CVE-2024-37383
Атака была реализована через вредоносное электронное письмо, не содержащее видимого текста или вложений. Однако при анализе HTML-кода письма эксперты обнаружили скрытые теги с конструкцией eval(atob(…)), которая декодирует и выполняет JavaScript-код. Ключевым индикатором эксплуатации уязвимости CVE-2024-37383 стало наличие атрибута с дополнительным пробелом: attributeName=»href «.
Механизм работы уязвимости
CVE-2024-37383 представляет собой уязвимость типа Cross-Site Scripting (XSS) в Roundcube Webmail версий до 1.5.6 и от 1.6 до 1.6.6. Она позволяет злоумышленникам внедрять и выполнять произвольный JavaScript-код в браузере пользователя при открытии вредоносного письма. Важно отметить, что разработчики Roundcube выпустили патч, устраняющий эту уязвимость, 19 мая 2024 года.
Цели и методы атакующих
Анализ вредоносного кода показал, что атакующие преследовали несколько целей:
- Получение доступа к сообщениям из почтового сервера с использованием плагина ManageSieve
- Внедрение поддельной формы авторизации для кражи учетных данных пользователя
Злоумышленники рассчитывали на автозаполнение полей логина и пароля браузером или на то, что пользователь самостоятельно введет данные, полагая, что требуется повторная авторизация.
Исторический контекст и потенциальные угрозы
Уязвимости в Roundcube Webmail неоднократно использовались в прошлом различными хакерскими группировками, включая APT28, Winter Vivern и TAG-70. Однако в данном случае эксперты пока не смогли связать атаку с конкретной известной группой. Это подчеркивает постоянно растущую угрозу со стороны как известных, так и новых киберпреступных организаций.
Этот инцидент служит напоминанием о критической важности кибербезопасности для государственных организаций и необходимости постоянной бдительности. Рекомендуется регулярно обновлять программное обеспечение, проводить обучение сотрудников по вопросам информационной безопасности и использовать многоуровневые системы защиты для минимизации рисков подобных атак. Только комплексный подход к кибербезопасности может обеспечить надежную защиту от постоянно эволюционирующих угроз в современном цифровом мире.
