Investigadores da ESET descobriram uma vasta campanha de ciberespionagem, apelidada de 'RoundPress', que tem como alvo organizações governamentais de alto valor a nível mundial. Os atacantes estão a explorar vulnerabilidades, incluindo falhas zero-day (desconhecidas até então pelo fabricante) e n-day (já conhecidas e para as quais podem ou não existir correções), em servidores de webmail para subtrair emails e outros dados sensíveis. A ESET atribui esta operação, com confiança média, ao grupo de hackers patrocinado pelo estado russo conhecido como APT28 (também identificado como "Fancy Bear" ou "Sednit").
A campanha teve início em 2023 e prosseguiu durante 2024 com a incorporação de novas técnicas de exploração, visando especificamente as plataformas de webmail Roundcube, Horde, MDaemon e Zimbra.
Alvos de alto perfil na mira dos hackers
Entre as vítimas destacam-se entidades governamentais na Grécia, Ucrânia, Sérvia e Camarões. Adicionalmente, foram comprometidas unidades militares na Ucrânia e Equador, empresas do setor da defesa na Ucrânia, Bulgária e Roménia, bem como infraestruturas críticas na Ucrânia e Bulgária. Esta seleção de alvos demonstra o foco dos atacantes em obter informações estratégicas e confidenciais.
Abrir um email é suficiente para o ataque
O método de ataque inicia-se com o envio de um email de spear-phishing – uma técnica de phishing altamente direcionada. Estes emails são cuidadosamente elaborados, referenciando notícias atuais ou eventos políticos, e frequentemente incluem excertos de artigos noticiosos para aumentar a sua aparente legitimidade.
O verdadeiro perigo reside num código JavaScript malicioso incorporado diretamente no corpo HTML do email. Este código é desenhado para explorar uma vulnerabilidade de Cross-Site Scripting (XSS) na página de webmail utilizada pelo destinatário no seu navegador. Uma falha XSS permite que os atacantes injetem scripts maliciosos em páginas web vistas por outros utilizadores.
De forma alarmante, a vítima apenas precisa de abrir o email para o visualizar. Não é necessária qualquer outra interação, como clicar em links, realizar redirecionamentos ou introduzir dados, para que o script JavaScript malicioso seja executado. Uma vez ativo, o payload (carga maliciosa) não possui mecanismos de persistência, o que significa que apenas se executa no momento em que o email infetado é aberto.
O script engenhoso cria campos de formulário invisíveis, ludibriando os navegadores ou gestores de palavras-passe a preencherem automaticamente as credenciais armazenadas para as contas de email da vítima. Para além disso, consegue ler o conteúdo do DOM (Modelo de Objeto de Documento) da página ou enviar pedidos HTTP para recolher o conteúdo de mensagens de email, listas de contactos, configurações do webmail, histórico de acessos, informações de autenticação de dois fatores e palavras-passe.
Todos os dados recolhidos são posteriormente exfiltrados para endereços de Comando e Controlo (C2) pré-definidos pelos atacantes, utilizando pedidos HTTP POST. Cada script possui um conjunto ligeiramente diferente de capacidades, ajustado ao produto de webmail específico que visa comprometer.
As vulnerabilidades exploradas ao detalhe
A Operação RoundPress visou múltiplas falhas XSS em diversos produtos de webmail comummente utilizados por organizações importantes, permitindo a injeção dos seus scripts JavaScript maliciosos. As explorações associadas pela ESET a esta campanha incluem as seguintes falhas:
- Roundcube – CVE-2020-35730: Uma falha de XSS armazenada que os hackers utilizaram em 2023. Ao incorporar JavaScript diretamente no corpo de um email, o script era executado no contexto do utilizador quando este abria o email numa sessão de webmail baseada no navegador, permitindo o roubo de credenciais e dados.
- Roundcube – CVE-2023-43770: Explorada no início de 2024, esta vulnerabilidade XSS residia na forma como o Roundcube processava o texto de hiperligações. Uma sanitização inadequada permitia aos atacantes injetar tags
- MDaemon – CVE-2024-11182: Uma falha XSS zero-day no analisador HTML do MDaemon Email Server, explorada pelos hackers no final de 2024. Ao criar um atributo
titlemalformado com uma tagnoembed, os atacantes conseguiam renderizar um payload - Horde – XSS Desconhecida: O grupo APT28 tentou explorar uma antiga vulnerabilidade XSS no Horde, colocando um script num manipulador
- Zimbra – CVE-2024-27443: Uma vulnerabilidade XSS no tratamento de convites de calendário do Zimbra, que não tinha sido anteriormente assinalada como ativamente explorada. A entrada não sanitizada do cabeçalho
X-Zimbra-Calendar-Intended-Forpermitia a injeção de JavaScript na interface do calendário. O APT28 incorporou um script oculto que descodificava e executava JavaScript em base64 quando o convite era visualizado.
A ameaça continua em 2025?
Embora a ESET não reporte qualquer atividade da RoundPress específica para 2025 até ao momento, os investigadores alertam que os métodos empregues pelos hackers podem ser facilmente aplicados durante o corrente ano. Esta possibilidade deve-se ao fornecimento constante de novas falhas XSS em produtos de webmail populares, representando um risco contínuo para organizações em todo o mundo. Recomenda-se a aplicação urgente de todas as atualizações de segurança disponibilizadas pelos fornecedores de software de webmail e a sensibilização dos utilizadores para os perigos de emails suspeitos, mesmo que pareçam legítimos.
Nenhum comentário
Seja o primeiro!