Operação Roundish: Descoberto Toolkit de Exploração do Roundcube do APT28 Mirando a Ucrânia

A Hunt.io descobriu um diretório aberto exposto em 203.161.50[.]145 contendo um toolkit completo de exploração do Roundcube pelo APT28. Este toolkit se sobrepõe a 14 TTPs (Táticas, Técnicas e Procedimentos) observadas na Operação RoundPress, que visava o Serviço Estatal de Migração da Ucrânia. Os ataques utilizavam payloads de XSS que simultaneamente coletavam credenciais através de formulários de preenchimento automático ocultos, instalavam regras persistentes de encaminhamento Sieve para advenwolf@proton[.]me, exfiltravam e-mails em massa via API viewsource, extraíam segredos TOTP, roubavam listas de endereços e implantavam stealers de credenciais para Chrome/Firefox. ️‍️

Novas capacidades não previamente ligadas ao APT28 incluem um ataque de side-channel de seletor CSS para extração de tokens CSRF, um backdoor Linux baseado em Go com mecanismos de persistência via cron, systemd e SELinux, além de scripts de detecção de escape de contêineres. Estes scripts indicam um direcionamento regular a ambientes Docker e Kubernetes. Defensores que utilizam Roundcube devem revisar imediatamente todas as regras de encaminhamento Sieve, implementar uma Content Security Policy (CSP) estrita que bloqueie eval() e o carregamento de recursos externos, monitorar solicitações em massa da API viewsource e cadeias de @import CSS com parâmetros de consulta incrementais. Além disso, devem considerar que redefinições de senha são insuficientes sem um recadastro completo de 2FA e invalidação de sessão.