Roundcube မေးလ်စနစ်၏ လုံခြုံရေးအားနည်းချက်ကြောင့် ဥရောပအစိုးရ၏ အီးမေးလ်ဆာဗာများ တိုက်ခိုက်ခံရ
အောက်တိုဘာ ၁၁ ရက်နေ့မှစ၍ Winter Vivern အမည်ရ ရုရှားဟက်ကာအဖွဲ့သည် ဥရောပအစိုးရအဖွဲ့အစည်းများနှင့် ဉာဏ်ကြီးရှင်အဖွဲ့များတွင် အသုံးပြုနေသော Roundcube Webmail ၏ လုံခြုံရေးအားနည်းချက်အပေါ် Zero-day Exploit များအသုံးပြုကာ တိုက်ခိုက်လျက်ရှိသည်။
Roundcube Development Team အနေဖြင့် အောက်တိုဘာ ၁၆ ရက်နေ့က ESET သုတေသီများက အစီရင်ခံခဲ့သည့် Stored Cross-Site Scripting (XSS) လုံခြုံရေးအားနည်းချက် (CVE-2023-5631) ကို ပြင်ဆင်ထားသည့် Security Update ဖိုင်ကို ဖြန့်ချိပြီးဖြစ်သည်။
ဤလုံခြုံရေးပြင်ဆင်ချက်ဖိုင်ကို ဆလိုဗက်ဆိုက်ဘာလုံခြုံရေးကုမ္ပဏီက ရုရှားဟက်ကာများက တကယ့်တိုက်ခိုက်မှုများတွင် Zero-day Exploit များဖြင့် တိုက်ခိုက်နေကြောင်း စုံစမ်းသိရှိခဲ့ပြီး ၅ ရက်အကြာတွင် ဖြန့်ချိခဲ့ခြင်းဖြစ်သည်။
ESET ၏ ရှာဖွေတွေ့ရှိချက်များအရ TA473 ဟုခေါ်ဆိုသော ဆိုက်ဘာထောက်လှမ်းရေးအဖွဲ့က JavaScript ဖိုင်များကို ပြင်ပမှနေ၍ အလုပ်လုပ်နိုင်စေရန်အတွက် HTML ကုဒ်များပါသော အီးမေးလ်မက်ဆေ့ချ်များတွင် SVG ဖိုင်များ ထည့်သွင်းခဲ့ကြသည်။
၎င်းတို့၏ Phishing စာတိုများအရ Outlook Team အယောင်ဆောင်ထားပြီး တိုက်ခိုက်ခံရနိုင်မည့်သူများအား အဆိုပါအီးမေးလ်များကို ဖွင့်ဖတ်စေရန် လှည့်စားထားသည်။ ဖွင့်ဖတ်မိပါက ပထမအဆင့် အဖျက်အမှောက်ကုဒ် (Payload) က Roundcube အီးမေးလ်ဆာဗာ၏လုံခြုံရေးအားနည်းချက်ကို အလိုအလျောက် တိုက်ခိုက်လိုက်သည်။
တိုက်ခိုက်မှုများတွင် နောက်ဆုံးအဆင့် JavaScript အဖျက်အမှောက်ကုဒ် (Payload) ကို ဆာဗာထဲ၌ နေရာချလိုက်ကာ အဖျက်အမှောက်ကျူးလွန်သူများက တိုက်ခိုက်ခံလိုက်ရသည့် အီးမေးလ်ဆာဗာတွင် အီးမေးလ်များကို ရှာဖွေရန်နှင့် ခိုးယူရန် ဆောင်ရွက်သည်။
“အထူးဖန်တီးထားတဲ့ အီးမေးလ်တစ်စောင်ကို ပေးပို့လိုက်ပြီး တိုက်ခိုက်သူတွေက Rouncube သုံးတဲ့သူတွေရဲ့ Browser Window မှာ JavaScript ကုဒ်တွေကို လုပ်နိုင်သွားကြတယ်။ Web Browser မှာ အဲဒီ အီးမေးလ်မက်ဆေ့ချ်ကို ကြည့်ဖို့ကလွဲလို့ အခြားဘာမှလုပ်စရာမလိုဘူး” ဟု ESET က ပြောကြားသည်။
နောက်ဆုံးကျန်ရှိသော JavaScript Payload က လက်ရှိ Roundcube အကောင့်သုံးစွဲသူရဲ့ Folder တွေ အီးမေးလ်တွေကို စာရင်းပြုစုပြီး အဆိုပါ အီးမေးလ်မက်ဆေ့ချ်များကို ၎င်း၏ အမိန့်ပေးထိန်းချုပ်ရေးဆာဗာဆီသို့ ပို့နိုင်သည်။
Roundcube သုံးစွဲသူအား လှည့်ဖြားတိုက်ခိုက်သည့် အီးမေးလ်နမူနာ (ဓာတ်ပုံ - ESET)
၂၀၂၁ ခုနှစ် ဧပြီတွင် စတင်တွေ့ရှိခဲ့သော Winter Vivern သည် အိန္ဒိယ၊ အီတလီ၊ လစ်သူယေးနီးယား၊ ယူကရိန်းနှင့် ဗာတီကန်ကဲ့သို့သော နိုင်ငံများအပါအဝင် ကမ္ဘာတစ်ဝှမ်းရှိ အစိုးရအဖွဲ့အစည်းများကို ရည်ရွယ်ချက်ရှိရှိ တိုက်ခိုက်ခဲ့ခြင်းကြောင့် သတိပြုခြင်းခံခဲ့ရသည်။
SentinelLabs သုတေသီများ၏အဆိုအရ အဆိုပါအဖွဲ့၏ ရည်ရွယ်ချက်မှာ ရုရှားနှင့် ဘီလာရုစ်အစိုးရများ၏ အကျိုးစီးပွားနှင့် အတော်လေးဆက်နွယ်နေသည်။
Winter Vivern သည် ၂၀၂၂ ခုနှစ်ကတည်းလောက်ကပင် အစိုးရအဖွဲ့အစည်းများ ပိုင်ဆိုင်သော Zimbra နှင့် Roundcube အီးမေးလ်ဆာဗာများအား အထူးပစ်မှတ်ထား တိုက်ခိုက်လျက်ရှိသည်။
ESET မှရရှိသောဒေတာများအရ ဤတိုက်ခိုက်မှုများတွင် ၂၀၂၃ ခုနှစ်၊ ဩဂုတ်လနှင့် စက်တင်ဘာလကြား တိုက်ခိုက်ခဲ့သည့် Roundcube XSS Vulnerability (CVE-2020-35730) လည်းပါဝင်သည်။
ထူးခြားသည်မှာ ရုရှား၏ ပင်မထောက်လှမ်းရေးညွှန်ကြားရေးမှူးရုံး (GRU) နှင့် ဆက်နွယ်သော ရုရှားထောက်လှမ်းရေးဟက်ကာများ (APT28) က ယူကရိန်းအစိုးရ၏ အီးမေးလ်ဆာဗာများကို တိုက်ခိုက်ရန် ဤတူညီသောအားနည်းချက်ကိုသုံးခဲ့သည်။
ရုရှားဆိုက်ဘာသူလျှိုများသည် NATO အရာရှိများ၊ အစိုးရများနှင့် စစ်ဘက်ပုဂ္ဂိုလ်များနှင့် သက်ဆိုင်သော အီးမေးလ်များကို ခိုးယူရန် NATO နိုင်ငံများအား တိုက်ခိုက်ရာတွင် Zimbra ၏ XSS Vulnerability (CVE-2022-27926) လုံခြုံရေးအားနည်းချက်ကို အသုံးချတိုက်ခိုက်ခဲ့သည်။
“Winter Vivern သည် Roundcube ရှိ မည်သူမျှမသိရှိသေးသော လုံခြုံရေးအားနည်းချက် (Zero-day Vulnerability) ကို အသုံးပြု၍ ၎င်း၏လုပ်ရှားမှုများကို အရှိန်မြှင့်တင်ခဲ့သည်။ ယခင်ကလည်း Roundcube နှင့် Zimbra တို့တွင် ဖြစ်ပေါ်ခဲ့သည့် အင်တာနက်တွင်လည်း နမူနာ တိုက်ခိုက်ခဲ့သော၊ တိုက်ခိုက်နိုင်သော အထောက်အထားများ ရှိထားသော လုံခြုံရေးအားနည်းချက်များကို တိုက်ခိုက်ခဲ့ဖူးသည်” ဟု ESET က ပြောကြားသည်။
“၎င်းအဖွဲ့၏ မဆုတ်မနစ်လုပ်ဆောင်ချက်၊ Phishing နှင့်ပတ်သက်သောလှုပ်ရှားမှုများကို ပုံမှန်ဆောင်ရွက်နေမှုကြောင့် အင်တာနက်သုံးသော Application များစွာသည် အားနည်းချက်များရှိကြောင်း သိထားသော်လည်း ပုံမှန် Update မလုပ်ခြင်းကြောင့် ဥရောပအစိုးရများအတွက် ခြိမ်းခြောက်မှုတစ်ရပ်ဖြစ်နေပါကြောင်း...”
“Sergiu Gatlan” ၏ “European govt email servers hacked using Roundcube zero-day” ကို ဘာသာပြန်ဆိုသည်။