Подозреваемые китайские шпионы атакуют почтовые серверы университета
Подозреваемая группа китайских шпионов взламывает почтовые серверы университетов по всей территории США и Канады. Она украла учетные данные сотрудников в области физики, инженерии и исследований национальной безопасности.
Безопасностная компания Proofpoint раскрыла эту кампанию на этой неделе, отслеживая группу под названием UNK_MassTraction и датируя ее как минимум с мая. The Register сообщил дополнительные детали.
Proofpoint непосредственно наблюдала за менее чем десятью затронутыми университетами. Она оценивает истинное число в несколько десятков. Последнее наблюдение было в начале июня, и активность, вероятно, продолжается.
Одного письма достаточно
Способом доступа является уязвимость в Roundcube, широко используемой платформе веб-почты. Нападающие используют уязвимость межсайтового скриптинга, CVE-2024-42009, которая срабатывает в момент, когда цель открывает подстроенное сообщение. Никаких кликов, вложений или паролей не требуется.
💜 технологий ЕС Последние новости из технологической сферы ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!
Приманки намеренно скучны. Группа отправляет фишинговые письма с компрометированных легитимных аккаунтов и поддельных доменов, маскируя их под маркетинг или спам. Как только цель открывает одно из них в уязвимом почтовом ящике Roundcube, скрытый скрипт начинает работать.
Что он крадет
Этот скрипт, который Proofpoint называет IceCube, собирает имена пользователей, пароли, токены сессий и куки прямо из почтового ящика. Он также проводит тихую разведку, фиксируя язык жертвы, размер экрана и поля на их форме входа.
Скрипт объединяет эти данные и отправляет их обратно к нападающим через интернет. Затем группа использует вторую уязвимость Roundcube, CVE-2025-49113. Это позволяет ей установить веб-оболочку и бэкдор на основе Go, называемый VShell, инструмент, который предпочитают несколько китайских хакерских групп.
Proofpoint утверждает, что почтовый сервер на самом деле является трамплином. Оттуда операторы могут углубиться в сеть университета.
Указывая на Пекин
Proofpoint не называет конкретное государство, но сигналы указывают на Китай. «Целеполагание соответствует приоритетам китайской государственной разведки», — сказал главный инженер по исследованию угроз Грег Лесневич в интервью The Register, указывая на акцент на астрофизике, физике частиц и исследованиях с оборонными связями.
Инфраструктура добавляет веса. Серверы, стоящие за кампанией, находятся в скрытой сети, которая обслуживает несколько связанных с Китаем акторов. В июне группа добавила резервный загрузчик, которым делятся те же группы. Proofpoint оценивает оператора как связанного с Китаем с умеренной оперативной безопасностью.
Университеты являются мягкими, ценными целями. Они хранят передовые исследования, привлекают международное сотрудничество и редко обеспечивают безопасность так же строго, как оборонные подрядчики. Эта смесь сделала академические сети постоянной наградой для шпионов, поддерживаемых государством.
Почему это важно
Кампания напоминает о том, что шпионаж теперь часто начинается в почтовом ящике, а не с взлома. Proofpoint сообщает, что она сканировала на предмет жертв и уведомила их вместе с государственными и промышленными партнерами. Для исследователей, чьи работы были раскрыты группой, решение простое: обновите Roundcube и рассматривайте каждое непрочитанное письмо как возможную дверь.
Другие статьи
Подозреваемые китайские шпионы атакуют почтовые серверы университета
Proofpoint сообщает, что группа, связанная с Китаем, взламывает почтовые ящики университетов США и Канады через уязвимости Roundcube, чтобы украсть исследования в области физики и обороны.
