Mastodon Mastodon Mastodon Mastodon

UNK_MassTraCTION: експлуатація вразливостей Roundcube проти університетів

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Ймовірно пов’язане з Китаєм угруповання, яке компанія Proofpoint відстежує як UNK_MassTraction, з травня 2026 року здійснює цілеспрямовані атаки на поштові сервери Roundcube фізичних та інженерних факультетів університетів США і Канади. Кампанія експлуатує дві критичні вразливості — CVE-2024-42009 (CVSS 9.3) та CVE-2025-49113 (CVSS 9.9) — для викрадення облікових даних, розгортання веб-оболонок і встановлення інструмента постексплуатації VShell. Адміністраторам Roundcube необхідно негайно перевірити версії серверів і застосувати доступні патчі.

Ланцюжок експлуатації: від відкриття листа до контролю над сервером

Атака починається з фішингових листів, надісланих зі скомпрометованих облікових записів або через домени з некоректно налаштованою політикою DMARC, що дає змогу підробляти адресу відправника. Ключова особливість — для спрацювання експлойта достатньо відкрити лист у клієнті Roundcube. Вразливість CVE-2024-42009 є XSS-вразливістю з оцінкою CVSS 9.3, яка дає змогу виконати довільний JavaScript-код у контексті браузера жертви.

За даними дослідників, зловмисники попередньо проводили розвідку цільових організацій, щоб визначити, які з них використовують уразливі версії Roundcube. Це вказує на високий рівень підготовки та цілеспрямованість кампанії.

Корисне навантаження IceCube

Після експлуатації XSS-вразливості доставляється JavaScript-корисне навантаження, що отримало кодову назву IceCube. Його функції включають:

  • Викрадення облікових даних, збережених у браузері, включно з даними двофакторної автентифікації та файлами cookie
  • Збір інформації про середовище: мову браузера, розмір екрана, значення полів форм
  • Ексфільтрацію зібраних даних на зовнішній сервер через HTTP POST-запит
  • Використання CSRF-токена сесії для експлуатації другої вразливості — CVE-2025-49113 (CVSS 9.9), що забезпечує віддалене виконання коду після автентифікації

Примітною є реалізація механізму «відкладених тригерів»: IceCube відстежує закриття сторінки, перемикання вкладок, вихід курсора за межі вікна браузера та перехоплює кнопку виходу із системи. За будь-якої з цих подій шкідливе ПЗ повторно намагається експлуатувати CVE-2025-49113 і сповіщає командний сервер про завершення сесії користувача.

Закріплення на сервері: SquareShell і VShell

Експлуатація CVE-2025-49113 спрямована на отримання постійного доступу до поштового сервера. Основний метод — розгортання веб-оболонки SquareShell у пам’яті, доступної за шляхом:

plugins/newmail_notifier/mail_preview.php

Ця веб-оболонка забезпечує довільне виконання коду на сервері. Якщо її встановлення не вдається, із червня 2026 року використовується резервний механізм: виконується shell-скрипт, який завантажує ELF-завантажувач SNOWLIGHT, сумісний з архітектурою цільової системи. SNOWLIGHT, своєю чергою, доставляє VShell — інструмент віддаленого адміністрування, написаний на Go, функціонально подібний до Cobalt Strike.

За даними дослідників NVISO, VShell надає широкий набір можливостей постексплуатації та використовувався різними угрупованнями, ймовірно пов’язаними з Китаєм.

Антифорензіка

Після завершення всіх операцій або зі спливом тайм-ауту IceCube знищує як користувацькі, так і створені шкідником сесії на сервері. Це призводить до примусового виходу користувача із системи та видалення слідів компрометації з сервера Roundcube — цілеспрямований захід протидії розслідуванню.

Контекст загрози та атрибуція

За даними дослідників Proofpoint, кампанія цілеспрямовано націлена на адміністраторів і професорів факультетів, пов’язаних із національною безпекою, а також тих, хто займається астрофізикою та фізикою елементарних частинок. Використання загальних приманок у фішингових листах, як повідомляється, вказує на ширший охоплення цілей поза межами видимості дослідників.

Дослідники оцінюють, що зловмисники розглядають поштові сервери Roundcube як точку входу до цільових мереж — подібно до того, як експлуатуються VPN-концентратори та інші прикордонні пристрої. Ланцюжок зараження цілеспрямовано спроєктований для ухилення від виявлення.

Слід зазначити, що атрибуція кампанії китайським угрупованням ґрунтується на даних одного вендора й не підтверджена незалежними джерелами. Зв’язок інструментарію SNOWLIGHT і VShell з конкретними кластерами активності потребує додаткової верифікації.

Оцінка впливу

Найбільшому ризику піддаються організації, які експлуатують неоновлені екземпляри Roundcube, насамперед — освітні установи, що традиційно вирізняються неоднорідною ІТ-інфраструктурою та обмеженими ресурсами на кібербезпеку. Поєднання двох критичних вразливостей з оцінками CVSS 9.3 і 9.9 робить цей ланцюжок атаки вкрай небезпечним: від відкриття листа до повного контролю над сервером можуть минути лічені секунди.

Компрометація поштового сервера дає зловмисникам доступ до всієї кореспонденції організації, що у випадку факультетів із дотичністю до національної безпеки створює ризики витоку чутливої інформації.

Рекомендації із захисту

  1. Оновіть Roundcube до останньої версії, яка усуває CVE-2024-42009 і CVE-2025-49113. Для обох вразливостей уже доступні виправлення — їхнє застосування є першочерговим кроком.
  2. Перевірте наявність індикаторів компрометації: зверніть увагу на файл plugins/newmail_notifier/mail_preview.php — його наявність або модифікація може вказувати на розгорнуту веб-оболонку SquareShell.
  3. Налаштуйте політику DMARC у режимі reject або quarantine, щоб запобігти підробці відправників через ваші домени.
  4. Упровадьте моніторинг вихідних HTTP POST-запитів із поштового сервера до зовнішніх вузлів — це основний канал ексфільтрації даних в описаній кампанії.
  5. Проведіть аудит сесій на поштовому сервері: аномальні масові завершення сесій можуть вказувати на активність антифорензічних механізмів IceCube.
  6. Розгляньте сегментацію мережі, яка обмежуватиме можливість використання поштового сервера як точки входу до решти інфраструктури.

Кампанія UNK_MassTraction демонструє, що поштові сервери залишаються повноцінним вектором проникнення в мережу, а не лише засобом доставки фішингу. Організаціям, які використовують Roundcube, слід негайно оновити сервери до актуальних версій і перевірити наявність файлу plugins/newmail_notifier/mail_preview.php як потенційного індикатора компрометації. Поштова інфраструктура заслуговує на такий самий рівень захисту, як і VPN-шлюзи та інші прикордонні пристрої.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.