El malware SpyPress, vinculado a Rusia, explota los correos web para espiar a Ucrania.

ESET informa sobre RoundPress, una campaña de espionaje cibernético del grupo ruso Fancy Bear (Sednit) dirigida a organizaciones relacionadas con Ucrania a través de vulnerabilidades de correo web y malware SpyPress.

Investigadores de ciberseguridad de ESET han revelado una sofisticada campaña de ciberespionaje, cuyo nombre en clave es RoundPress, y evalúan con "mediana certeza" que está orquestada por el grupo Sednit (también conocido como APT28 , Fancy Bear ), respaldado por Rusia. Esta operación ataca activamente a organizaciones vinculadas al conflicto en Ucrania, con el objetivo de exfiltrar datos confidenciales de servidores de correo web vulnerables como RoundCube.

El grupo Sednit, vinculado por el Departamento de Justicia de los EE. UU. al hackeo del Comité Nacional Demócrata (DNC) de 2016 y rastreado por Hackread.com en ataques a TV5Monde y WADA , ha estado empleando correos electrónicos de phishing dirigidos en la campaña RoundPress.

Estos correos electrónicos explotan vulnerabilidades de secuencias de comandos entre sitios (XSS) en varias plataformas de correo web para inyectar código JavaScript malicioso, denominado SpyPress, en el navegador de la víctima.

En la publicación del blog de ESET, compartida con Hackread.com, los investigadores señalaron que durante los últimos dos años, los grupos de espionaje han atacado servidores de correo web como Roundcube y Zimbra para robar correos electrónicos debido a su naturaleza obsoleta y a los desencadenadores de vulnerabilidades remotas que facilitan el ataque.

En 2023, investigadores observaron que Sednit explotaba CVE-2020-35730 en Roundcube . Sin embargo, en 2024, la campaña se expandió para atacar vulnerabilidades en:

• Horda (una falla antigua de XSS)

• Roundcube ( CVE-2023-43770 , parcheado el 14 de septiembre de 2023)

• Zimbra ( CVE-2024-27443 , también conocida como ZBUG-3730, parcheada el 1 de marzo de 2024)

• MDaemon ( CVE-2024-11182 , un día cero informado por investigadores el 1 de noviembre de 2024 y parcheado en la versión 24.5.1 el 14 de noviembre de 2024)

ESET detectó un correo electrónico específico de phishing dirigido el 29 de septiembre de 2023, enviado por katecohen1984@portugalmailpt que explotaba la vulnerabilidad CVE-2023-43770 en Roundcube. Estos correos suelen simular contenido de noticias para incitar a las víctimas a abrirlos, como un correo electrónico dirigido a un objetivo ucraniano el 11 de septiembre de 2024, enviado por kyivinfo24@ukrnet , sobre un supuesto arresto en Járkov, y otro dirigido a un objetivo búlgaro el 8 de noviembre de 2024, enviado por office@terembgcom , sobre Putin y Trump.

Los principales objetivos de la Operación RoundPress en 2024, identificados a través de la telemetría de ESET y los datos presentados por VirusTotal, son predominantemente entidades gubernamentales ucranianas y empresas de defensa en Bulgaria y Rumania, algunas de las cuales están produciendo armas de la era soviética para Ucrania.

Los investigadores también observaron ataques contra gobiernos nacionales en Grecia, Camerún, Ecuador, Serbia y Chipre (un académico en estudios ambientales), una empresa de telecomunicaciones del sector de defensa en Bulgaria y una empresa de transporte aéreo civil y una empresa estatal de transporte en Ucrania.

Las variantes del malware SpyPress (SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE y SpyPress.ZIMBRA) comparten técnicas de ofuscación y se comunican con servidores C2 mediante solicitudes HTTP POST. Sin embargo, sus capacidades varían.

Por ejemplo, se ha observado que SpyPress.ROUNDCUBE crea reglas Sieve para reenviar todos los correos electrónicos entrantes a una dirección controlada por el atacante, como srezoska@skiffcom (Skiff es un servicio de correo electrónico orientado a la privacidad). SpyPress.MDAEMON demostró la capacidad de crear contraseñas de aplicaciones, lo que otorga acceso persistente.

Los investigadores concluyeron que la explotación continua de las vulnerabilidades del correo web por parte de grupos como Sednit subraya la importancia de aplicar parches de manera oportuna y adoptar fuertes medidas de seguridad para proteger la información confidencial de estas campañas de espionaje dirigidas.

J Stephen Kowski , director de tecnología de campo en SlashNext Email Security+, comentó sobre el último desarrollo y afirmó: " Ataques como la Operación RoundPress muestran la rapidez con la que los piratas informáticos pueden cambiar de objetivo, especialmente cuando encuentran debilidades en las plataformas de correo electrónico más populares " .

“ Ya sea que utilice sistemas de correo electrónico comerciales pagos u opciones gratuitas de código abierto autoalojadas como RoundCube, ninguna solución es completamente segura: los sistemas autoalojados a menudo dan una falsa sensación de seguridad, ya que aún necesitan actualizaciones periódicas y mantenimiento experto ” , advirtió.

“ La mejor manera de mantenerse a la vanguardia es asegurarse de que los sistemas de correo electrónico estén siempre actualizados y parcheados, utilizando protecciones sólidas como la autenticación multifactor y teniendo herramientas que puedan detectar y bloquear correos electrónicos de phishing antes de que lleguen a los usuarios ”, aconsejó Kowski.