Giriş
Son dönemde, Çin bağlantılı bir tehdit grubu, ABD ve Kanada’daki üniversitelerin Roundcube sunucularını hedef alarak kullanıcı bilgilerini çalmaktadır. Bu saldırıların özellikle fizik ve mühendislik bölümleri, yöneticiler ve astrofizik gibi ulusal güvenlik araştırmalarıyla ilgilenen kuruluşlar üzerinde yoğunlaşması dikkat çekmektedir.
Saldırı Nasıl Çalışıyor?
Saldırı, genellikle kötü niyetli e-postalar aracılığıyla başlatılmakta ve bu e-postalar ya ele geçirilmiş hesaplardan ya da sahte alan adlarından gönderilmektedir. Bu e-postalarda kullanıcıları kandırmak için basit tuzaklar kullanılmaktadır.
E-postanın açılmasıyla, CVE-2024-42009 koduyla takip edilen bir cross-site scripting (XSS) açığı tetiklenmekte ve kurbanın tarayıcısında JavaScript kodu çalışmaktadır. Bu işlem, “IceCube” adı verilen bir yükün yüklenmesine neden olmaktadır.
Araştırmacıların belirttiğine göre, IceCube “tam donanımlı bir Roundcube çalıcıdır” ve aşağıdakileri toplayabilir:
- Kullanıcı adları
- Şifreler
- Açık oturum bilgileri (cookies)
- İki faktörlü kimlik doğrulama (2FA) verileri
- Tarayıcı bilgileri
Proofpoint’a göre, bu zararlı yazılım, CVE-2025-49113 ile izlenen bir Roundcube serileştirme açığını istismar etmek için “yardımcılar” kullanmakta ve SquareShell adlı PHP web shell’ini yüklemeye çalışmaktadır. Başarılı olunması durumunda, saldırganın e-posta sunucusunda uzaktan kod yürütme yetkisi kazanması hedeflenmektedir; aksi takdirde, zararlı yazılım bir shell betiği indirerek başka bir yük, VShell’i hafızada doğrudan yüklemektedir.
VShell, etkileşimli shell erişimi ve port yönlendirmeyi destekleyen, Çinli tehdit aktörleri tarafından sıkça kullanılan bir Go tabanlı arka kapıdır.
Etkilenen Sistemler
Saldırının belirli bir hedef grubu olduğundan, UNK_MassTraction olarak adlandırılan bu tehdit grubunun, CVE-2024-42009 ve CVE-2025-49113 zafiyetlerine sahip sunucuları seçtiği gözlemlenmiştir. Bu durum, saldırılardan önce bir keşif yapıldığını göstermektedir.
Çözüm ve Korunma
Roundcube sistem yöneticilerinin aşağıdaki adımları atmaları önemlidir:
- En son güvenlik güncellemelerini uygulayarak CVE-2024-42009 ve CVE-2025-49113 zafiyetlerini kapatın.
- Mail sunucularını VPN ve diğer uzaktan erişim düğümleri kadar dikkatle yönetin.
- Kullanıcı eğitimleri ile phishing e-postaları hakkında farkındalık sağlayın.
Sonuç
Bu tehditlerin önüne geçmek için, hemen güncellemeleri uygulamalı ve sunucu yapılandırmalarınızı gözden geçirmelisiniz. Ayrıca, şüpheli e-posta içeriklerine karşı dikkatli olmalısınız. Güvenlik açıklarını kapatmak ve sistemleri korumak, siber bağlamda hayati önem taşımaktadır.


