5 czerwca br. zespół CERT Polska poinformował o wykryciu kampanii e-mailowej wymierzonej w polskie podmioty. Działania przestępców opierały się na wykorzystaniu podatności CVE-2024-42009 w oprogramowaniu Roundcube. Podatność ta umożliwia wykonanie kodu JavaScript w momencie odczytania wiadomości. Według CERT Polska za tymi działaniami stoi grupa UNC1151. Złośliwy kod użyty przez atakujących składa się z dwóch części. Pierwsza uruchamiana jest poprzez wykorzystanie wspomnianej podatności i instaluje tzw. Service Workera w przeglądarce użytkownika. Druga część kodu, wykonywana w Service Workerze, przechwytuje próby zalogowania do aplikacji Roundcube i przesyła kopię wprowadzonych poświadczeń na serwer atakujących. Zespół CERT Polska opublikował zalecenia dla podmiotów używających oprogramowania Roundcube – aktualizacja oprogramowania do najnowszej wersji (1.6.11 i 1.5.10), analiza logów pod kątem połączeń z domeną a.mpk-krakow.pl, analiza otrzymanych maili pod kątem nadawców i tytułu opisanego w sekcji IoC – a także dla podmiotów będących celem ataku: zmiana haseł użytkowników, którzy otrzymali wiadomość; weryfikacja aktywności na ich kontach; wyrejestrowanie Service Workera.
Podziel się!