Подозреваемые китайские шпионы захватили почтовые серверы университета

Подозреваемые китайские шпионы захватили почтовые серверы университета

      Подозреваемая китайская шпионская группа взламывает почтовые серверы университетов по всей территории США и Канады. Она украла учетные данные сотрудников в области физики, инженерии и исследований национальной безопасности.

      Безопасностная компания Proofpoint раскрыла эту кампанию на этой неделе, отслеживая группу под названием UNK_MassTraction и датируя ее как минимум с мая. The Register сообщил дополнительные детали.

      Proofpoint непосредственно наблюдала за менее чем десятью затронутыми университетами. Она оценивает истинное число в несколько десятков. Последнее наблюдение было в начале июня, и активность, вероятно, продолжается.

      Одного письма достаточно

      Способом доступа является уязвимость в Roundcube, широко используемой платформе веб-почты. Нападающие используют уязвимость межсайтового скриптинга, CVE-2024-42009, которая срабатывает в момент, когда цель открывает подстроенное сообщение. Никаких кликов, вложений или паролей не требуется.

      💜 технологий ЕС Последние новости из технологической сферы ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных AI-артов. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!

      Приманки намеренно скучны. Группа отправляет фишинговые письма с компрометированных легитимных аккаунтов и поддельных доменов, маскируя их под маркетинг или спам. Как только цель открывает одно из них в уязвимом почтовом ящике Roundcube, скрытый скрипт начинает работать.

      Что он крадет

      Этот скрипт, который Proofpoint называет IceCube, собирает имена пользователей, пароли, токены сессий и куки прямо из почтового ящика. Он также проводит тихую разведку, фиксируя язык жертвы, размер экрана и поля на их форме входа.

      Скрипт собирает эти данные и отправляет их обратно нападающим через интернет. Затем группа использует вторую уязвимость Roundcube, CVE-2025-49113. Это позволяет ей установить веб-оболочку и бэкдор на основе Go под названием VShell, инструмент, который предпочитают несколько китайских хакерских групп.

      Proofpoint утверждает, что почтовый сервер на самом деле является трамплином. Оттуда операторы могут углубиться в сеть университета.

      Указывая на Пекин

      Proofpoint не называет конкретное государство, но сигналы указывают на Китай. «Целеполагание соответствует приоритетам китайской государственной разведки», - сказал главный инженер по исследованию угроз Грег Лесневич в интервью The Register, указывая на акцент на астрофизике, физике частиц и исследованиях с оборонными связями.

      Инфраструктура добавляет веса. Серверы, стоящие за кампанией, находятся в скрытой сети, которая обслуживает несколько связанных с Китаем акторов. В июне группа добавила резервный загрузчик, которым делятся те же группы. Proofpoint оценивает оператора как связанного с Китаем с умеренной оперативной безопасностью.

      Университеты являются мягкими, ценными целями. Они хранят передовые исследования, привлекают международное сотрудничество и редко обеспечивают безопасность так же строго, как оборонные подрядчики. Эта смесь сделала академические сети постоянной наградой для шпионов, поддерживаемых государством.

      Почему это важно

      Кампания напоминает о том, что шпионство теперь часто начинается в почтовом ящике, а не с взлома. Proofpoint сообщает, что она сканировала на предмет жертв и предупреждала их вместе с государственными и промышленными партнерами. Для исследователей, чьи работы раскрыла группа, решение простое: обновите Roundcube и рассматривайте каждое непрочитанное письмо как возможную дверь.

Другие статьи

Исследователи обошли безопасность GitHub Copilot с помощью рабочего процесса Исследователи обошли безопасность GitHub Copilot с помощью рабочего процесса Исследователи Института Алана Тьюринга заставили GitHub Copilot создавать вредоносный контент, который он отказывается генерировать в чате, распространяя запрос по рабочему процессу кодирования. Databento привлек $97 млн для конкуренции с терминалом Bloomberg. Databento привлек $97 млн для конкуренции с терминалом Bloomberg. Стартап по рыночным данным Databento привлек $97 млн в рамках раунда финансирования Series B, возглавляемого NEA, расширяя свои ставки против терминала Bloomberg в Европе, Азиатско-Тихоокеанском регионе и лабораториях ИИ. Джек Дорси и его компания Block урегулировали иски о мошенничестве с Cash App с 46 штатами на сумму 45 миллионов долларов. Джек Дорси и его компания Block урегулировали иски о мошенничестве с Cash App с 46 штатами на сумму 45 миллионов долларов. Блок выплатит 45 миллионов долларов 46 штатам США за обработку мошенничества с Cash App, поскольку государственные регуляторы начинают действовать в области, которую покинул ослабленный CFPB. Databento привлек $97 миллионов, чтобы конкурировать с терминалом Bloomberg. Databento привлек $97 миллионов, чтобы конкурировать с терминалом Bloomberg. Стартап по рыночным данным Databento привлек $97 млн в рамках раунда Series B, возглавляемого NEA, расширяя свои ставки против терминала Bloomberg в Европе, Азиатско-Тихоокеанском регионе и лабораториях ИИ. Брэд Смит: США регулируют ИИ без четких правил Брэд Смит: США регулируют ИИ без четких правил Президент Microsoft Брэд Смит заявил, что Вашингтон регулирует ИИ без прозрачных правил после резких мер по контролю за экспортом в отношении Anthropic и OpenAI. Брэд Смит: США регулирует ИИ без четких правил Брэд Смит: США регулирует ИИ без четких правил Президент Microsoft Брэд Смит заявил, что Вашингтон регулирует ИИ без прозрачных правил после резких мер по контролю за экспортом в отношении Anthropic и OpenAI.

Подозреваемые китайские шпионы захватили почтовые серверы университета

Proofpoint сообщает, что группа, связанная с Китаем, нарушает почтовые ящики университетов США и Канады через уязвимости Roundcube, чтобы украсть исследования в области физики и обороны.