Universiteiten doelwit van nieuwe cyberspionagecampagne
Een nieuwe cyberspionagecampagne maakt misbruik van een cross-site scripting-kwetsbaarheid in Roundcube, een open-source webmailapplicatie. Deze campagne, aangeduid als UNK_MassTraction, richtte zich op faculteiten voor natuurkunde en techniek aan grote Amerikaanse en Canadese universiteiten.
Dit blijkt uit onderzoek van Proofpoint. Met name beheerders en hoogleraren bij faculteiten met banden met nationale veiligheid of betrokken bij astrofysica en deeltjesfysica waren het doelwit. Toch lijkt de exploit al voldoende te zijn als de e-mail in de e-mailclient wordt geopend om toegang tot de mailserver te verkrijgen, wat suggereert dat de ontvangers zelf mogelijk van ondergeschikt belang waren.
N-day-kwetsbaarheden
De aangevallen afdelingen gebruiken allemaal versies van Roundcube die gevoelig zijn voor zogenaamde n-day-kwetsbaarheden. Dit zijn bekende beveiligingslekken waarvoor al een patch beschikbaar is, maar die nog niet zijn toegepast. Dit wijst erop dat UNK_MassTraction voorafgaand aan de campagne verkenningen heeft uitgevoerd bij de doelwitten.
Uit het onderzoek van Proofpoint komen verschillende belangrijke bevindingen naar voren. Zo is een nieuwe, aan China gelieerde dreigingsgroep geïdentificeerd die zich richt op faculteiten met onderzoek op het gebied van nationale veiligheid en geavanceerde wetenschappelijke vakgebieden. De aanvallers maken gebruik van een meerfasige exploitatieketen, waarbij meerdere n-day-kwetsbaarheden in Roundcube aan elkaar worden gekoppeld om inloggegevens te stelen, detectie te omzeilen en uiteindelijk permanente toegang tot e-mailservers te verkrijgen.
Springplank
Opvallend is dat de aanvallers gecompromitteerde e-mailservers lijken te gebruiken als springplank naar bredere bedrijfsnetwerken. Dit markeert een evolutie in de werkwijze van Chinese cyberspionage. Daarnaast beschikt de malware over geavanceerde operationele beveiligingsmaatregelen, zoals opschoonroutines, fallback-mechanismen en uitgestelde triggers om toegang te behouden en forensisch bewijs te minimaliseren. Onderzoekers vermoeden dat delen van de toolkit mogelijk zijn ontwikkeld met behulp van een LLM.
Proofpoint concludeert dat organisaties e-mailservers die verbinding maken met het internet met dezelfde prioriteit moeten behandelen als VPN’s en andere edge-infrastructuur. Dit betekent dat kwetsbaarheden snel moeten worden gepatcht en dat er moet worden gemonitord op activiteiten na de exploitatie.
Meer informatie is hier beschikbaar.