Масштабная фишинговая кампания в Польше: уязвимости Roundcube и угроза кражи учетных данных
CERT Polska опубликовала тревожный отчет о крупной фишинговой кампании, нацеленной на польские организации. Эксперты с высокой степенью уверенности связывают эти атаки с киберкластером UNC1151, который, как предполагается, действует под покровительством белорусского правительства и возможной поддержки российских спецслужб.
Суть атаки и используемые уязвимости
Ключевым инструментом злоумышленников стали уязвимости в популярном почтовом клиенте Roundcube. В частности, ими эксплуатируется:
- CVE-2024-42009 — уязвимость, позволяющая выполнять произвольный JavaScript при открытии вредоносного письма. Это достигается благодаря недостаточной очистке HTML-функций в телах сообщений электронной почты, что делает возможным запуск кода в браузере жертвы;
- CVE-2025-49113 — еще одна серьезная уязвимость, позволяющая злоумышленнику, прошедшему аутентификацию, исполнить произвольный код и получить полный контроль над почтовым сервером.
Важно отметить, что CVE-2024-42009 присутствует только в устаревших версиях Roundcube и уже исправлена в последних обновлениях, однако, часть организаций до сих пор работает с уязвимым ПО.
Механизм атаки и его последствия
Фишинговая кампания начинается с рассылки электронных писем с привлекательными темами, провоцирующими пользователей на быстрые действия. По открытии такого письма запускается вредоносный JavaScript, который:
- устанавливает в браузере жертвы Service Worker — фоновой скрипт, способный выполнять дальнейшие инструкции;
- через установленный Service Worker загружает дополнительный вредоносный код с контроля злоумышленников.
В дальнейшем злоумышленники получают доступ к учетным данным пользователей, после чего проводят:
- анализ скомпрометированных учетных записей;
- получение доступа к содержимому почтовых ящиков;
- рассылку новых фишинговых сообщений от имени пострадавших пользователей.
Рекомендации для пострадавших организаций
Для уменьшения последствий атаки экспертами CERT Polska рекомендовано:
- обязательный сброс паролей для пользователей, чьи учетные записи были скомпрометированы;
- тщательную проверку действий пользователей в системе;
- отмену регистрации вредоносных Service Worker через инструменты разработчика браузера;
- повышение уровня отчетности в CSIRT для своевременного выявления и нейтрализации подобных угроз.
Выводы
Отчет свидетельствует о новой тенденции в кибератаках: злоумышленники активно используют явно исправленные, но все еще остающиеся в эксплуатации уязвимости, а также функционал веб-браузеров для организации сложных цепочек атак с целью кражи учетных данных и дальнейшего неправомерного использования аккаунтов.
Эксперты подчеркивают — своевременные обновления систем и повышение кибергигиены остаются ключевыми мерами защиты от подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Масштабная фишинговая атака на польские организации через уязвимости Roundcube".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.