Credit image: Freefix
Para peretas sedang menjalankan operasi spionase siber global bernama ‘RoundPress’. Mereka memanfaatkan celah keamanan zero-day (belum diketahui pengembang) dan n-day (sudah diketahui tapi belum ditambal) pada server webmail untuk mencuri email dari organisasi pemerintah penting.
Para peneliti ESET yang mengungkap operasi ini dengan tingkat keyakinan sedang menghubungkannya dengan kelompok peretas APT28 (juga dikenal sebagai “Fancy Bear” atau “Sednit”) yang disponsori oleh negara Rusia.
Operasi ini dimulai pada tahun 2023 dan berlanjut dengan penggunaan exploit (kode untuk memanfaatkan celah keamanan) baru pada tahun 2024, menargetkan Roundcube, Horde, MDaemon, dan Zimbra.
Target-target penting termasuk pemerintah di Yunani, Ukraina, Serbia, dan Kamerun, unit militer di Ukraina dan Ekuador, perusahaan pertahanan di Ukraina, Bulgaria, dan Rumania, serta infrastruktur penting di Ukraina dan Bulgaria.
|
Baca juga: Operasi Besar Malware di 2025 |
Buka Email, Data Dicuri
Serangan dimulai dengan email spear-phishing (email yang ditargetkan pada individu tertentu) yang merujuk pada berita atau peristiwa politik terkini, sering kali menyertakan kutipan dari artikel berita untuk membuatnya terlihat lebih meyakinkan.
Sebuah payload (muatan berbahaya) JavaScript yang tertanam dalam badan HTML email memicu eksploitasi kerentanan cross-site scripting (XSS) pada halaman webmail yang digunakan oleh penerima.
Korban hanya perlu membuka email untuk melihatnya. Tidak diperlukan interaksi/klik, pengalihan halaman, atau input data lainnya agar skrip JavaScript berbahaya dieksekusi.
Payload ini tidak memiliki mekanisme persistensi (bertahan dalam sistem), jadi hanya berjalan ketika email berbahaya dibuka.
Skrip tersebut membuat kolom input tersembunyi untuk menipu browser atau pengelola kata sandi agar secara otomatis mengisi kredensial (nama pengguna dan kata sandi) yang tersimpan untuk akun email korban.
Selain itu, skrip ini membaca DOM (Document Object Model) atau mengirim permintaan HTTP untuk mengumpulkan konten pesan email, kontak, pengaturan webmail, riwayat login, autentikasi dua faktor, dan kata sandi.
Data yang dicuri kemudian dikirimkan ke alamat command-and-control (C2) yang sudah ditentukan dalam kode menggunakan permintaan HTTP POST.
Setiap skrip memiliki sedikit perbedaan dalam kemampuannya, disesuaikan dengan produk webmail yang ditargetkan.
|
Baca juga: Operasi Malware GodLoader Baru Menginfeksi 17.000 Sistem |
Celah Keamanan yang Ditargetkan
Operasi RoundPress menargetkan berbagai kerentanan XSS pada berbagai produk webmail yang umum digunakan oleh organisasi penting untuk menyuntikkan skrip JS berbahaya mereka.
Eksploitasi yang dihubungkan ESET dengan kampanye ini melibatkan celah keamanan berikut:
- Roundcube – CVE-2020-35730: Kerentanan XSS tersimpan yang digunakan peretas pada tahun 2023 dengan menyematkan JavaScript langsung ke dalam badan email. Ketika korban membuka email di sesi webmail berbasis browser, skrip dieksekusi dalam konteks mereka, memungkinkan pencurian kredensial dan data.
- Roundcube – CVE-2023-43770: Kerentanan XSS dalam cara Roundcube menangani teks hyperlink yang dieksploitasi pada awal tahun 2024. Sanitasi (pembersihan input) yang tidak tepat memungkinkan penyerang menyuntikkan tag <script> ke dalam konten email, yang akan dieksekusi saat dilihat.
- MDaemon – CVE-2024-11182: Kerentanan zero-day XSS pada parser HTML MDaemon Email Server, dieksploitasi oleh peretas pada akhir tahun 2024. Dengan membuat atribut title yang salah format dengan tag <noembed>, penyerang dapat merender payload <img onerror> tersembunyi, yang mengeksekusi JavaScript. Ini memungkinkan pencurian kredensial, bypass autentikasi dua faktor, dan akses persisten melalui App Passwords.
- Horde – XSS Tidak Diketahui: APT28 mencoba mengeksploitasi kerentanan XSS lama di Horde dengan menempatkan skrip dalam handler <img onerror>. Namun, upaya tersebut gagal, kemungkinan karena adanya pemfilteran bawaan pada versi Horde modern. Celah keamanan yang tepat tidak terkonfirmasi tetapi tampaknya telah ditambal sementara itu.
- Zimbra – CVE-2024-27443: Kerentanan XSS dalam penanganan undangan kalender Zimbra, yang sebelumnya belum ditandai sebagai dieksploitasi secara aktif. Input yang tidak disanitasi dari header X-Zimbra-Calendar-Intended-For memungkinkan injeksi JavaScript ke dalam UI kalender. APT28 menyematkan skrip tersembunyi yang mendekode dan mengeksekusi JavaScript base64 saat undangan dilihat.
Meskipun ESET tidak melaporkan aktivitas RoundPress untuk tahun 2025, metode peretas dapat dengan mudah diterapkan pada tahun ini juga, karena selalu ada pasokan kerentanan XSS baru pada produk webmail populer.
Sumber berita:
