Подозреваемые китайские шпионы атакуют почтовые серверы университета

Подозреваемые китайские шпионы атакуют почтовые серверы университета

      Подозреваемая группа китайских шпионов взламывает почтовые серверы университетов по всей территории США и Канады. Она украла учетные данные сотрудников в области физики, инженерии и исследований национальной безопасности.

      Безопасностная компания Proofpoint раскрыла эту кампанию на этой неделе, отслеживая группу под названием UNK_MassTraction и датируя ее как минимум с мая. The Register сообщил дополнительные детали.

      Proofpoint непосредственно наблюдала за менее чем десятью затронутыми университетами. Она оценивает истинное число в несколько десятков. Последнее наблюдение было в начале июня, и активность, вероятно, продолжается.

      Одного письма достаточно

      Способом доступа является уязвимость в Roundcube, широко используемой платформе веб-почты. Нападающие используют уязвимость межсайтового скриптинга, CVE-2024-42009, которая срабатывает в момент, когда цель открывает подстроенное сообщение. Никаких кликов, вложений или паролей не требуется.

      💜 технологий ЕС Последние новости из технологической сферы ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!

      Приманки намеренно скучны. Группа отправляет фишинговые письма с компрометированных легитимных аккаунтов и поддельных доменов, маскируя их под маркетинг или спам. Как только цель открывает одно из них в уязвимом почтовом ящике Roundcube, скрытый скрипт начинает работать.

      Что он крадет

      Этот скрипт, который Proofpoint называет IceCube, собирает имена пользователей, пароли, токены сессий и куки прямо из почтового ящика. Он также проводит тихую разведку, фиксируя язык жертвы, размер экрана и поля на их форме входа.

      Скрипт объединяет эти данные и отправляет их обратно к нападающим через интернет. Затем группа использует вторую уязвимость Roundcube, CVE-2025-49113. Это позволяет ей установить веб-оболочку и бэкдор на основе Go, называемый VShell, инструмент, который предпочитают несколько китайских хакерских групп.

      Proofpoint утверждает, что почтовый сервер на самом деле является трамплином. Оттуда операторы могут углубиться в сеть университета.

      Указывая на Пекин

      Proofpoint не называет конкретное государство, но сигналы указывают на Китай. «Целеполагание соответствует приоритетам китайской государственной разведки», — сказал главный инженер по исследованию угроз Грег Лесневич в интервью The Register, указывая на акцент на астрофизике, физике частиц и исследованиях с оборонными связями.

      Инфраструктура добавляет веса. Серверы, стоящие за кампанией, находятся в скрытой сети, которая обслуживает несколько связанных с Китаем акторов. В июне группа добавила резервный загрузчик, которым делятся те же группы. Proofpoint оценивает оператора как связанного с Китаем с умеренной оперативной безопасностью.

      Университеты являются мягкими, ценными целями. Они хранят передовые исследования, привлекают международное сотрудничество и редко обеспечивают безопасность так же строго, как оборонные подрядчики. Эта смесь сделала академические сети постоянной наградой для шпионов, поддерживаемых государством.

      Почему это важно

      Кампания напоминает о том, что шпионаж теперь часто начинается в почтовом ящике, а не с взлома. Proofpoint сообщает, что она сканировала на предмет жертв и уведомила их вместе с государственными и промышленными партнерами. Для исследователей, чьи работы были раскрыты группой, решение простое: обновите Roundcube и рассматривайте каждое непрочитанное письмо как возможную дверь.

Другие статьи

Внутри скрытого 'Суда 19' IBM на Уимблдоне Внутри скрытого 'Суда 19' IBM на Уимблдоне Под 18-м кортом Уимблдона IBM 'Корт 19' обрабатывает 2,7 миллиона данных за турнир и превращает Чемпионат в витрину для ИИ. Джек Дорси и его компания Block урегулировали иски о мошенничестве с Cash App с 46 штатами на сумму 45 миллионов долларов. Джек Дорси и его компания Block урегулировали иски о мошенничестве с Cash App с 46 штатами на сумму 45 миллионов долларов. Блок выплатит 45 миллионов долларов 46 штатам США за обработку мошенничества с Cash App, поскольку государственные регуляторы начинают действовать в области, которую покинул ослабленный CFPB. Databento привлек $97 млн для конкуренции с терминалом Bloomberg. Databento привлек $97 млн для конкуренции с терминалом Bloomberg. Стартап по рыночным данным Databento привлек $97 млн в рамках раунда финансирования Series B, возглавляемого NEA, расширяя свои ставки против терминала Bloomberg в Европе, Азиатско-Тихоокеанском регионе и лабораториях ИИ. Облачная зависимость Британии от США теперь представляет собой риск в миллиард фунтов. Облачная зависимость Британии от США теперь представляет собой риск в миллиард фунтов. Практически каждое государственное учреждение Великобритании зависит от американских гипермасштабных компаний, сосредоточив миллиарды фунтов и критически важные услуги в системах, которые Уайтхолл не может полностью контролировать. Генераторы изображений на основе ИИ вырвались из кошмарных рук и вошли в эпоху фальшивого премиума. Генераторы изображений на основе ИИ вырвались из кошмарных рук и вошли в эпоху фальшивого премиума. Я протестировал Meta Muse, Gemini Nano Banana 2 и ChatGPT Images 2.0. Очевидные ошибки ИИ исчезают, но новые недостатки сложнее игнорировать. Новые правила ЕС устанавливают камеру для наблюдения за водителем в каждом автомобиле. Новые правила ЕС устанавливают камеру для наблюдения за водителем в каждом автомобиле. Второй этап правил безопасности автомобилей ЕС требует установки камер для контроля внимания водителя и тормозов, обнаруживающих пешеходов, на всех новых автомобилях и фургонах с 7 июля 2026 года.

Подозреваемые китайские шпионы атакуют почтовые серверы университета

Proofpoint сообщает, что группа, связанная с Китаем, взламывает почтовые ящики университетов США и Канады через уязвимости Roundcube, чтобы украсть исследования в области физики и обороны.