MENU

RoundPress

ほぼこもセキュリティニュース

RoundPressは、脅威アクターが展開している脅威キャンペーンにつけられた名称です。
このキャンペーンは2023年から展開が継続されていて現在までの間にその影響範囲を拡大してきています。

  • 対象システム:Webメールシステム
    脅威アクターがこの脅威キャンペーンで狙うシステムはWebメールシステムです。
    Webメールシステムにはさまざまなものがありますが、現在確認されている範囲では、Roundcube、Horde、MDaemon、Zimbraが対象となってしまっています。
  • 対象の地域
    被害者のほとんどは東ヨーロッパの政府機関と防衛企業ですが、アフリカ、ヨーロッパ、南アメリカの政府も標的にされていることが確認されています。
    具体的には、ギリシャ、ウクライナ、セルビア、カメルーンの政府、ウクライナとエクアドルの軍隊、ウクライナ、ブルガリア、ルーマニアの防衛企業、ウクライナとブルガリアの重要インフラなどが対象になっています。
  • 攻撃の手順
    • 攻撃者がスピアフィッシングメールを送る
      現在のニュースや政治的出来事に言及する内容のメールになっています。
      正当性を高めるためにニュース記事の抜粋が含まれることもよくあります。
    • 受信者がメールを開く
      メールを開いて内容を閲覧すると、攻撃が開始されます。
      電子メールのHTML本文に埋め込まれた悪意のあるJavaScriptペイロードにより、受信者が使用するWebメールシステムのクロスサイトスクリプティング(XSS)の脆弱性が悪用されます。
      悪意のあるJavaScriptスクリプトを実行するために、他の操作やクリック、リダイレクト、データ入力は必要ないため、被害者に必要なのは電子メールを開いて表示することだけです。
      このスクリプトは目に見えない入力フィールドを作成し、ブラウザやパスワードマネージャーを騙して被害者の電子メールアカウントの保存された認証情報を自動入力させます。
      DOMを読み取ったり、HTTPリクエストを送信したりして、メールのメッセージの本文、連絡先、ウェブメールの設定、ログイン履歴、2要素認証、パスワードを収集します。
      収集したデータはHTTP POSTでC2に送信されます。
      現時点で確認できている範囲では、永続化機構は含まれていません。
      ただし、メールを開くと動作しますので、一度でも開くとその時点での情報取得がされてしまうというものになっています。
  • 悪用される脆弱性
    いくつもの脆弱性が悪用されて攻撃が成り立ちます。
    • Roundcube
      • CVE-2020-35730
        メール本文にJavaScriptを直接埋め込むことで悪用されたXSS脆弱性です。
        被害者がブラウザベースのウェブメールセッションでメールを開くと、スクリプトがコンテキスト内で実行され、認証情報やデータの窃取が可能となります。
      • CVE-2023-43770
        Roundcubeがハイパーリンクテキストを処理する方法にXSSの脆弱性がありました。
        不十分なサニタイズにより、攻撃者がメールコンテンツに <script> タグを挿入すると、表示時にそれが実行される可能性があります。
    • MDaemon
      • CVE-2024-11182
        HTMLパーサーに存在するゼロデイXSS脆弱性です。
        noembedタグを含む不正なtitle属性を作成することで、攻撃者は隠された<img onerror>ペイロードをレンダリングし、JavaScriptを実行できます。
        これにより、認証情報の盗難、2要素認証のバイパス、アプリパスワードによる永続的なアクセスが可能になります。
    • Horde
      • 未知の脆弱性
        CVE番号はアサインされていないのですが、<img onerror>ハンドラにあるXSSの脆弱性です。
        この脆弱性は悪用が試みられましたが、調査の範囲ではHordeの機能の変化で具体的な被害には至っていないと考えられます。
    • Zimbra
      • CVE-2024-27443
        Zimbraのカレンダー招待処理におけるXSS脆弱性です。
        あるヘッダーの値のサニタイジングの不足がJavaScriptインジェクションへと繋がってしまう脆弱性です。
        カレンダーUIにおいて招待の内容が処理される際に、BASE64で暗号化されたJavaScriptがデコードされて動作してしまいます。

これらの脆弱性を悪用した攻撃キャンペーンは、APT28によって展開されています。
APT28にはさまざまな別名があります。Fancy BearやForest Blizzardなどという名称で聞いたことがある方もあることでしょう。
前述の脆弱性は提供者や利用者の更新活動でやがて悪用できなくなっていくかもしれません。
しかし脅威アクターは同様に悪用できる脆弱性を次々に武器化していきます。
悪用されていることがわかったものに個別に対策していくということではなく、常に利用すべき最新のバージョンを利用した状態にすることが安全への道に思えます。

Operation RoundPress
https://www.welivesecurity.com/en/eset-research/operation-roundpress/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。