В сентябре 2024 года эксперты Positive Technologies обнаружили вредоносное письмо, предназначенное для неназванной государственной организации в одной из стран СНГ. Злоумышленники использовали это письмо для атаки на уязвимость CVE-2024-37383, найденную ранее в почтовом клиенте Roundcube Webmail экспертами CrowdStrike.
Письмо содержало только вложение, и почтовый клиент не отображал его наличие. Однако в теле письма были обнаружены теги, которые декодировали и выполняли код на JavaScript. Имя атрибута href, содержащее дополнительный пробел, указывало на попытку эксплуатации уязвимости CVE-2024-37383.
Исследователи сообщили, что CVE-2024-37383 является XSS-багом, который позволяет выполнять произвольный JavaScript-код в браузере пользователя. Для этого потенциальной жертве нужно было открыть вредоносное письмо в веб-клиенте Roundcube версий до 1.5.6 или от 1.6 до 1.6.6. Разработчики Roundcube исправили эту проблему 19 мая 2024 года.
Пейлоад из вредоносного письма пытался получить сообщения с почтового сервера с помощью плагина ManageSieve. Кроме того, на HTML-страницу, отображаемую пользователю, добавлялась форма авторизации с полями rcmloginuser и rcmloginpwd — логин и пароль пользователя для клиента Roundcube. Исследователи предположили, что злоумышленники рассчитывали на автозаполнение этих полей или на то, что пользователь введет данные самостоятельно, полагая, что это повторная авторизация.
В компании отметили, что в прошлом баги в Roundcube Webmail уже использовались в атаках такими группами, как APT28, Winter Vivern и TAG-70. Однако пока не удалось связать выявленную активность с конкретными известными злоумышленниками.