Öne Çıkan Siber Tehditler: MDaemon ve Webmail Sunucuları Üzerindeki Saldırılar
Son yıllarda, siber casusluk faaliyetleri dünya genelinde hız kazanmıştır. Bu bağlamda, ESET tarafından yapılan son araştırmalar, bir Rus bağlantılı tehdit aktörünün 2023’te başlattığı Operation RoundPress isimli siber saldırı operasyonunu ortaya çıkarttı. Bu operasyonda, Roundcube, Horde, MDaemon ve Zimbra gibi webmail sunucularındaki cross-site scripting (XSS) açıkları hedef alındı. Özellikle MDaemon’da bulunan bir sıfır gün açığı da bu kampanyada kullanıldı.
APT28 ile Bağlantılı Tehditler
Bu saldırılar, APT28 olarak bilinen Rusya destekli siber saldırı grubuyla ilişkilendirilmektedir. Bu grup, farklı isimlerle anılmakta: BlueDelta, Fancy Bear, Fighting Ursa, gibi. ESET araştırmacısı Matthieu Faou’ya göre, bu operasyonun amacı, belirli email hesaplarından gizli verileri çalmaktır. Hedefler arasında genellikle Doğu Avrupa‘daki devlet kurumları ve savunma şirketleri bulunmaktadır. Bununla birlikte, Afrika, Avrupa ve Güney Amerika‘daki hükümetler de bu saldırılardan nasibini almıştır.
Geçmişteki Saldırıların Yeniden Gözden Geçirilmesi
ESET, APT28’in daha önce de webmail yazılımlarındaki açıkları kullanarak saldırılar gerçekleştirdiğini bildirmiştir. Örneğin, Haziran 2023’te Recorded Future, APT28’in Roundcube üzerindeki açıkları kullanarak yıl boyunca keşif yaptığına dair bilgiler paylaşmıştı. Bugüne kadar, Winter Vivern ve UNC3707 (diğer adıyla GreenCube) gibi diğer tehdit aktörleri de Roundcube ve benzeri email çözümlerini çeşitli kampanyalarda hedef aldı.
Saldırıların Hedefleri ve Yöntemleri
2024 yılı itibarıyla Operation RoundPress saldırılarının büyük bir kısmının, Ukrayna’daki devlet kurumları ve Bulgaristan ile Romanya‘daki savunma şirketlerini hedef aldığı görülmektedir. Bu şirketlerin bazıları, Ukrayna’ya gönderilmek üzere Sovyet dönemi silahları üretmektedir. Diğer hedefler arasında Yunanistan, Kamerun, Ekvador, Sırbistan ve Kıbrıs gibi ülkelerin devlet, askeri ve akademik organizasyonları da yer almaktadır.
Bu saldırılarda, Horde, MDaemon ve Zimbra’daki XSS açıklarının yanı sıra, kullanıcıların webmail penceresinde çalışan herhangi bir JavaScript kodunu yürütme yeteneği mevcut. Önemli bir nokta, CVE-2023-43770’nin, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Şubat 2024’te Bilinen İstismar Edilen Açıklar (KEV) kataloğuna eklendiğidir.
Tehdit Aktörlerinin Taktikleri
MDaemon üzerindeki XSS açığı, saldırganlar tarafından sıfır gün olarak kullanılmıştır. CVE-2024-11182 olarak belgelendirilmiş bu açık, Kasım 2023’te 24.5.1 sürümünde kapatılmıştır. ESET’in raporuna göre, bu XSS açıkları, hedefe e-posta yoluyla gönderilmektedir. Gönderilen e-postalar, kullanıcıların hedef webmail hesaplarına erişim sağlamak amacıyla zararlı JavaScript kodu içermektedir. Bu kod, yalnızca ilgili kullanıcının hesabına ait verilere erişim sağlar.
Saldırıların başarılı olması için, hedefin bu e-posta mesajını açması gerekmektedir. E-postaların içeriği genellikle zararsız görünmektedir, çünkü zararlı kod, HTML kodunun içinde gizlenmiştir. E-postanın açılması durumunda, zararlı içeriğin çalışması başlar ve kullanıcının e-posta bilgileri dışında, iletileri ve iletişim bilgileri de çalınabilir.
SpyPress Malware ve Diğer Kötü Amaçlı Yazılımlar
ESET, izinsiz verilen bilgilere ek olarak, SpyPress isimli obfuscate edilmiş bir JavaScript yükünün de kullanıldığını bildirmiştir. Bu yazılım, webmail kimlik bilgilerini çalmaktadır ve kullanıcıların e-posta kutusundaki mesajları ve iletişim bilgilerini toplar. Bununla birlikte, bazı SpyPress.ROUNDCUBE yüklerinin, zararlı kod etkin olmasa bile, her gelen e-postanın kopyasını saldırganın kontrolündeki bir e-posta adresine gönderen Sieve kuralları oluşturma yeteneği vardır.
Bilgi Toplama ve İstenmeyen E-postalar
Toplanan bilgiler, bir HTTP POST isteği ile hard-coded bir command-and-control (C2) sunucusuna gönderilmektedir. Malware’in bazı varyantlarının, giriş geçmişini, iki faktörlü kimlik doğrulama (2FA) kodlarını yakalayabildiği ve MDAEMON için bir uygulama şifresi oluşturma yeteneği olduğu tespit edilmiştir. Bu durum, kullanıcı şifresi ya da 2FA kodu değişse bile, kullanıcıların e-posta kutusuna erişim sağlanmasını mümkün kılmaktadır.
ESET’in araştırmaları, siber casusluk gruplarının webmail sunucularını hedef almasının kolaylığını ortaya koymaktadır. Özellikle birçok kuruluşun webmail sunucularını güncel tutmaması ve bu açıkların e-posta gönderimi ile uzaktan tetiklenebilmesi, saldırganlar için cazip bir hedef haline gelmektedir. Bu durum, siber güvenlik alanında yeni önlemlerin alınmasını gerektiren bir tehdit oluşturuyor.
