{"id":1719570,"date":"2025-05-15T23:15:30","date_gmt":"2025-05-15T23:15:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/apt28-vinculado-a-rusia-exploto-el-dia-cero-de-mdaemon-para-piratear-servidores-de-correo-web-del-gobierno\/"},"modified":"2025-05-15T23:15:35","modified_gmt":"2025-05-15T23:15:35","slug":"apt28-vinculado-a-rusia-exploto-el-dia-cero-de-mdaemon-para-piratear-servidores-de-correo-web-del-gobierno","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/apt28-vinculado-a-rusia-exploto-el-dia-cero-de-mdaemon-para-piratear-servidores-de-correo-web-del-gobierno\/","title":{"rendered":"APT28 vinculado a Rusia explot\u00f3 el d\u00eda cero de Mdaemon para piratear servidores de correo web del gobierno"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Un actor de amenaza vinculado a Rusia se ha atribuido a una operaci\u00f3n de ciber espionaje dirigida a servidores de correo web como RoundCube, Horde, Mdemon y Zimbra a trav\u00e9s de vulnerabilidades de secuencias de comandos de sitios cruzados (XSS), incluido un d\u00eda de cero en mdaemon, seg\u00fan nuevos hallazgos de ESET.<\/p>\n

La actividad, que comenz\u00f3 en 2023, ha sido nombrado en c\u00f3digo Operaci\u00f3n RoundPress<\/strong> por la Compa\u00f1\u00eda de Ciberseguridad Eslovaco. Se ha atribuido con la confianza media al grupo de pirater\u00eda patrocinado por el estado ruso rastreado como Apt28, que tambi\u00e9n se conoce como BlueDelta, oso elegante, lucha contra Ursa, Blizzard Forest, Frozenlake, Iron Twilight, ITG05, Pewn Storm, Sednit, Sofacy y Ta422.<\/p>\n

“El objetivo final de esta operaci\u00f3n es robar datos confidenciales de cuentas de correo electr\u00f3nico espec\u00edficas”, el investigador de ESET Matthieu Faou dicho<\/a> En un informe compartido con The Hacker News. “La mayor\u00eda de las v\u00edctimas son entidades gubernamentales y compa\u00f1\u00edas de defensa en Europa del Este, aunque hemos observado que los gobiernos en \u00c1frica, Europa y Am\u00e9rica del Sur tambi\u00e9n est\u00e1n siendo atacados”.<\/p>\n

Esta no es la primera vez que APT28 se ha vinculado a ataques que explotan fallas en el software Webmail. En junio de 2023, el futuro registrado detall\u00f3 el abuso del actor de amenaza de m\u00faltiples fallas en RoundCube (CVE-2020-12641, CVE-2020-35730 y CVE-2021-44026) para llevar a cabo el reconocimiento y la recopilaci\u00f3n de datos.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Desde entonces, otros actores de amenaza como Winter Vivern y UNC3707<\/a> (tambi\u00e9n conocido como Greencube) tambi\u00e9n se han dirigido a soluciones de correo electr\u00f3nico, incluida RoundCube en varias campa\u00f1as a lo largo de los a\u00f1os. Los lazos de Operation RoundPress a Apt28 provienen de superposiciones en la direcci\u00f3n de correo electr\u00f3nico utilizada para enviar los correos electr\u00f3nicos de phishing de lanza y similitudes<\/a> En la forma en que se configuraron ciertos servidores.<\/p>\n

Se ha encontrado que la mayor\u00eda de los objetivos de la campa\u00f1a en 2024 son entidades gubernamentales ucranianas o compa\u00f1\u00edas de defensa en Bulgaria y Rumania, algunas de las cuales producen armas de la era sovi\u00e9tica que se enviar\u00e1n a Ucrania. Otros objetivos incluyen organizaciones gubernamentales, militares y acad\u00e9micas en Grecia, Camer\u00fan, Ecuador, Serbia y Chipre.<\/p>\n

Los ataques implican la explotaci\u00f3n de las vulnerabilidades de XSS en Horde, Mdaemon y Zimbra para ejecutar el c\u00f3digo de JavaScript arbitrario en el contexto de la ventana Webmail. Vale la pena se\u00f1alar que CVE-2023-43770 fue agregado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a su conocido cat\u00e1logo de vulnerabilidades explotadas (KEV) en febrero de 2024.<\/p>\n

\"\"<\/a><\/div>\n

Mientras que los ataques dirigidos a Horde (una falla antigua no especificada fijada en Horde Webmail 1.0 lanzado en 2007), RoundCube (CVE-2023-43770) y Zimbra ((CVE-2024-27443<\/a>) Los defectos de seguridad apalancados ya conocidos y parcheados, la vulnerabilidad de Mdaemon XSS evalu\u00f3 que el actor de amenazas ha sido utilizado como un d\u00eda cero. Asignado el identificador CVE CVE-2024-11182<\/a> (Puntuaci\u00f3n CVSS: 5.3), fue parcheado en Versi\u00f3n 24.5.1<\/a> pasado noviembre.<\/p>\n

“Sednit env\u00eda estas exploits XSS por correo electr\u00f3nico”, dijo Faou. “Las exploits conducen a la ejecuci\u00f3n del c\u00f3digo JavaScript malicioso en el contexto de la p\u00e1gina web del cliente webmail que se ejecuta en una ventana del navegador. Por lo tanto, solo los datos accesibles desde la cuenta de la v\u00edctima pueden leerse y exfiltrarse”.<\/p>\n

Sin embargo, para que el exploit sea exitoso, el objetivo debe estar convencido de abrir el mensaje de correo electr\u00f3nico en el portal de correo web vulnerable, suponiendo que pueda evitar los filtros de spam y aterrizar en la bandeja de entrada del usuario. El contenido del correo electr\u00f3nico en s\u00ed es inocuo, ya que el c\u00f3digo malicioso que desencadena el defecto de XSS reside dentro del c\u00f3digo HTML del cuerpo del mensaje de correo electr\u00f3nico y, por lo tanto, no es visible para el usuario.<\/p>\n

La explotaci\u00f3n exitosa conduce a la ejecuci\u00f3n de una carga \u00fatil de JavaScript ofondeada llamada SpyPress que viene con la capacidad de robar credenciales de correo web y cosechar mensajes de correo electr\u00f3nico e informaci\u00f3n de contacto del buz\u00f3n de la v\u00edctima. El malware, a pesar de la falta de un mecanismo de persistencia, se vuelve a cargar cada vez que se abre el mensaje de correo electr\u00f3nico atrapado en el booby.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Adem\u00e1s, detectamos algunas cargas \u00fatiles SpyPress.RoundCube que tienen la capacidad de crear reglas de tamiz”, dijo Eset. “Spypress.roundCube crea una regla que enviar\u00e1 una copia de cada correo electr\u00f3nico entrante a una direcci\u00f3n de correo electr\u00f3nico controlada por el atacante. Las reglas de tamiz son una caracter\u00edstica de RoundCube y, por lo tanto, la regla se ejecutar\u00e1 incluso si el script malicioso ya no se ejecuta”.<\/p>\n

La informaci\u00f3n recopilada se exfiltra posteriormente a trav\u00e9s de una solicitud de publicaci\u00f3n HTTP a un servidor de comando y control (C2) codificado. Tambi\u00e9n se ha encontrado que las variantes seleccionadas del malware capturen el historial de inicio de sesi\u00f3n, los c\u00f3digos de autenticaci\u00f3n de dos factores (2FA) e incluso creen un contrase\u00f1a de aplicaci\u00f3n<\/a> Para que Mdaemon retenga el acceso al buz\u00f3n, incluso si se cambia la contrase\u00f1a o el c\u00f3digo 2FA.<\/p>\n

“En los \u00faltimos dos a\u00f1os, los servidores de correo web como RoundCube y Zimbra han sido un objetivo importante para varios grupos de espionaje como Sednit, Greencube e Winter Vivern”, dijo Faou. “Debido a que muchas organizaciones no mantienen actualizados a sus servidores de correo web y debido a que las vulnerabilidades se pueden activar de forma remota enviando un mensaje de correo electr\u00f3nico, es muy conveniente que los atacantes apunten a dichos servidores para el robo de correo electr\u00f3nico”.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n