俄罗斯APT TAG-70利用Roundcube Webmail服务器中的XSS漏洞攻击超80家组织

原创 紫队 紫队安全研究 2024-06-01 12:00

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

研究公司Recorded Future的Insikt Group发现，一个被追踪为TAG-70的APT（高级持续威胁）组织与白俄罗斯和俄罗斯有关联。自2020年12月以来，这些国家级黑客一直针对欧洲和中亚的政府、军事和国家基础设施实体进行网络间谍活动。

攻击背景

在2023年10月至12月期间，TAG-70利用Roundcube Webmail服务器中的跨站脚本（XSS）漏洞对超过80个组织发动攻击，主要目标包括格鲁吉亚、波兰和乌克兰的组织。

“TAG-70在其攻击方法中表现出高度的复杂性。这些威胁行为者利用社会工程技术，并利用Roundcube Webmail服务器中的XSS漏洞，成功绕过政府和军事组织的防御，获得了未授权访问。” Recorded Future的Insikt Group在报告中写道。

TAG-70的攻击手段

研究人员注意到，这次攻击活动与其他俄罗斯相关组织（如BlueDelta（APT28）和Sandworm）的活动有相似之处。这些APT组织之前也曾针对邮件解决方案，如Roundcube和Zimbra进行攻击。

电子邮件服务器的被攻陷构成了重大风险，特别是在像俄罗斯-乌克兰这样的冲突期间。威胁行为者可以通过攻击电子邮件服务器来收集关于对手战争努力、外交关系和联盟伙伴关系的情报。

针对俄罗斯和荷兰的伊朗大使馆的攻击表明，这些黑客有更广泛的地缘政治兴趣，尤其是评估伊朗在乌克兰冲突背景下对俄罗斯的支持。类似地，对格鲁吉亚政府实体的间谍活动反映了他们对监控格鲁吉亚寻求加入欧盟和北约的兴趣。

攻击链分析

在2023年7月27日，研究人员发现了一个恶意的JavaScript脚本，该脚本作为TAG-70在利用Roundcube漏洞之前使用的第二阶段加载程序。ESET的研究人员也详细描述了相同的攻击链。

这个JavaScript通过来自恶意电子邮件的跨站脚本（XSS）加载，并解码了一个Base64编码的JavaScript有效负载（jsBodyBase64）。然后，该有效负载被插入到Roundcube网页的文档对象模型（DOM）中，在一个新创建的脚本标签内。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

---