未知威胁组织试图利用开源 Roundcube 网络邮件软件中现已修补的安全漏洞，进行旨在窃取用户凭证的网络钓鱼攻击。

俄罗斯网络安全公司 Positive Technologies 表示，上个月发现了一封发送给独立国家联合体 (CIS) 某国未指明政府组织的电子邮件。但值得注意的是，该邮件最初是在 2024 年 6 月发送的。

本周早些时候发表的分析报告称：“这封电子邮件似乎是一封没有文字的消息，只包含一个附件。”

“电子邮件客户端没有显示附件。电子邮件正文包含带有语句 eval(atob(...)) 的独特标签，用于解码和执行 JavaScript 代码。”

根据 Positive Technologies 的说法，攻击链试图利用CVE-2024-37383 （CVSS 评分：6.1），这是一个通过SVG 动画属性的存储型跨站点脚本 ( XSS ) 漏洞，允许在受害者的 Web 浏览器上下文中执行任意 JavaScript。

换句话说，远程攻击者只需诱骗电子邮件收件人打开特制邮件，即可加载任意 JavaScript 代码并访问敏感信息。截至 2024 年 5 月，该漏洞已在 1.5.7 和 1.6.7 版本中得到解决。

Positive Technologies 指出：“通过插入 JavaScript 代码作为‘href’的值，每当 Roundcube 客户端打开恶意电子邮件时，我们就可以就在 Roundcube 页面上执行它。”

在这种情况下，JavaScript 有效载荷会保存空的 Microsoft Word 附件（“Road map.docx”），然后使用 ManageSieve 插件从邮件服务器获取消息。它还会在向用户显示的 HTML 页面中显示登录表单，以欺骗受害者提供他们的 Roundcube 凭据。

在最后阶段，捕获的用户名和密码信息被泄露到托管在 Cloudflare 上的远程服务器（“ libcdn[.]org ”）。

目前尚不清楚此次攻击活动的幕后黑手是谁，不过 Roundcube 中发现的先前漏洞已被APT28、Winter Vivern 和 TAG-70 等多个黑客组织滥用。

该公司表示：“尽管 Roundcube 网络邮件可能不是使用最广泛的电子邮件客户端，但由于政府机构普遍使用，它仍然是黑客的目标。对该软件的攻击可能会造成重大损失，使网络犯罪分子能够窃取敏感信息。”

链接：

https://thehackernews.com/2024/10/hackers-exploit-roundcube-webmail-xss.html