Russische Hackergruppe APT28 nutzt Zero-Day-Schwachstelle in MDaemon für Angriffe

MOSKAU / MÜNCHEN (IT BOLTWISE) – Eine russische Hackergruppe, bekannt als APT28, hat eine bisher unbekannte Sicherheitslücke in MDaemon ausgenutzt, um gezielte Angriffe auf Regierungswebmail-Server durchzuführen.

Die russische Hackergruppe APT28, auch bekannt unter Namen wie Fancy Bear und Sofacy, hat erneut ihre Fähigkeiten im Bereich der Cyber-Spionage unter Beweis gestellt. Laut Berichten von ESET, einem führenden Unternehmen im Bereich der Cybersicherheit, hat die Gruppe eine Zero-Day-Schwachstelle in der Webmail-Software MDaemon ausgenutzt. Diese Schwachstelle ermöglichte es den Angreifern, vertrauliche Daten von Regierungs- und Verteidigungsorganisationen in Osteuropa zu stehlen.

Die Operation, die von ESET als Operation RoundPress bezeichnet wird, begann im Jahr 2023 und zielte hauptsächlich auf Webmail-Server wie Roundcube, Horde und Zimbra ab. Die Angriffe nutzten Cross-Site-Scripting (XSS)-Schwachstellen aus, um schädlichen JavaScript-Code im Kontext des Webmail-Fensters auszuführen. Besonders besorgniserregend ist die Tatsache, dass die MDaemon-Schwachstelle zum Zeitpunkt der Angriffe noch nicht bekannt war und somit als Zero-Day eingestuft wurde.

APT28 ist bekannt für seine gezielten Angriffe auf Regierungs- und Verteidigungsorganisationen, insbesondere in Osteuropa. Die Gruppe hat in der Vergangenheit bereits ähnliche Schwachstellen in Webmail-Software ausgenutzt, um an sensible Informationen zu gelangen. Die aktuelle Kampagne richtete sich vor allem gegen ukrainische Regierungsstellen sowie Verteidigungsunternehmen in Bulgarien und Rumänien, die Waffen sowjetischer Bauart für die Ukraine produzieren.

Die Angriffe wurden durch das Versenden von Spear-Phishing-E-Mails durchgeführt, die die XSS-Exploits enthielten. Diese E-Mails waren so gestaltet, dass sie die Spam-Filter der betroffenen Webmail-Server umgehen konnten. Der schädliche Code war im HTML-Teil der E-Mail versteckt und für den Benutzer nicht sichtbar. Sobald die E-Mail geöffnet wurde, führte der Code zur Ausführung eines JavaScript-Payloads namens SpyPress, das in der Lage war, Webmail-Anmeldedaten zu stehlen und E-Mails sowie Kontaktinformationen zu sammeln.

Ein bemerkenswertes Merkmal von SpyPress ist seine Fähigkeit, Sieve-Regeln in Roundcube zu erstellen. Diese Regeln ermöglichen es, Kopien eingehender E-Mails an eine von den Angreifern kontrollierte E-Mail-Adresse zu senden, selbst wenn das schädliche Skript nicht mehr aktiv ist. Die gesammelten Informationen werden dann über eine HTTP-POST-Anfrage an einen festgelegten Command-and-Control-Server exfiltriert.

Die Angriffe von APT28 zeigen erneut, wie wichtig es ist, Webmail-Server regelmäßig zu aktualisieren und gegen bekannte Schwachstellen abzusichern. Da viele Organisationen ihre Server nicht auf dem neuesten Stand halten, bieten sie Angreifern eine einfache Möglichkeit, an vertrauliche Informationen zu gelangen. Experten warnen davor, dass solche Angriffe in Zukunft zunehmen könnten, da immer mehr Organisationen auf webbasierte Kommunikationslösungen setzen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!