Il gruppo di cyber spionaggio APT28, collegato alla Russia, è stato recentemente identificato come responsabile di una campagna di attacchi contro server webmail governativi. Questa operazione, denominata Operation RoundPress, si è focalizzata su soluzioni di posta elettronica come Roundcube, Horde, MDaemon e Zimbra, sfruttando vulnerabilità cross-site scripting (XSS). In particolare, gli attaccanti hanno utilizzato una vulnerabilità zero-day in MDaemon (CVE-2024-11182), che è stata corretta solo a novembre 2024 nella versione 24.5.1.

Obiettivi e Vittime Preferite

APT28, noto anche come Fancy Bear, Sednit e con altri alias, ha come obiettivo principale il furto di dati riservati da account email specifici. Le vittime preferite sono enti governativi e aziende della difesa, soprattutto in Europa orientale, ma sono stati colpiti anche governi di Africa, Europa e Sud America. Una parte significativa degli attacchi del 2024 si è concentrata su enti ucraini o aziende della difesa in Bulgaria e Romania, oltre a organizzazioni governative, militari e accademiche in altri Paesi.

Tecniche di Attacco

Gli attacchi si basano sull’invio di email contenenti exploit XSS che, una volta aperte nella webmail vulnerabile, eseguono codice JavaScript malevolo. Così, gli attaccanti possono leggere ed esfiltrare dati accessibili dall’account della vittima. Il codice dannoso, spesso invisibile all’utente perché inserito nell’HTML della mail, attiva un payload JavaScript chiamato SpyPress. Questo malware è in grado di rubare credenziali, email e contatti dalla casella postale, e si riattiva ogni volta che il messaggio infetto viene aperto.

Persistenza e Varianti del Malware

In alcuni casi, la variante SpyPress.ROUNDCUBE è in grado di creare regole Sieve su Roundcube, inoltrando automaticamente tutte le email in arrivo a un indirizzo controllato dagli attaccanti, assicurando così la persistenza dell’esfiltrazione anche dopo la rimozione del malware. Altre versioni del malware possono registrare la cronologia degli accessi, intercettare codici 2FA e creare password applicative per mantenere l’accesso alla posta anche in seguito a cambiamenti delle credenziali.

Webmail come Bersaglio Principale

Negli ultimi anni, server webmail come Roundcube e Zimbra sono stati bersaglio privilegiato di diversi gruppi di spionaggio, perché molte organizzazioni non aggiornano regolarmente questi sistemi e le vulnerabilità possono essere sfruttate semplicemente inviando una email. Questo rende gli attacchi particolarmente efficaci e difficili da prevenire senza un’attenta gestione della sicurezza e delle patch.