据观察，不明威胁行为者试图利用开源 Roundcube 网络邮件软件中一个现已打补丁的安全漏洞，作为旨在窃取用户凭证的网络钓鱼攻击的一部分。

俄罗斯网络安全公司 Positive Technologies 称，该公司上个月发现有人向独立国家联合体（独联体）国家的一个未指定的政府组织发送了一封电子邮件。但值得注意的是，该邮件最初是在 2024 年 6 月发送的。

“本周早些时候发布的一份分析报告称：”这封电子邮件似乎是一封没有文本的邮件，只包含一份附件文档。

“然而，电子邮件客户端并没有显示附件。邮件正文包含带有语句 eval(atob(……)) 的独特标签，可解码并执行 JavaScript 代码”。

根据 Positive Technologies 的说法，该攻击链试图利用 CVE-2024-37383（CVSS 得分：6.1），这是一个通过 SVG animate 属性存储的跨站脚本 (XSS) 漏洞，允许在受害者网络浏览器的上下文中执行任意 JavaScript。

换句话说，远程攻击者只需诱使电子邮件收件人打开特制邮件，即可加载任意 JavaScript 代码并访问敏感信息。截至 2024 年 5 月，该问题已在 1.5.7 和 1.6.7 版本中得到解决。

“Positive Technologies 指出：“通过插入 JavaScript 代码作为 ”href “的值，每当 Roundcube 客户端打开恶意电子邮件时，我们就可以在 Roundcube 页面上执行该代码。

在这种情况下，JavaScript 有效载荷会保存空的 Microsoft Word 附件（“Road map.docx”），然后使用 ManageSieve 插件从邮件服务器获取邮件。它还会在显示给用户的 HTML 页面中显示登录表单，以欺骗受害者提供他们的 Roundcube 凭据。

在最后阶段，捕获的用户名和密码信息会外泄到 Cloudflare 托管的远程服务器（“libcdn[.]org”）。

目前尚不清楚是谁在幕后操纵这一漏洞利用活动，但此前在 Roundcube 中发现的漏洞已被 APT28、Winter Vivern 和 TAG-70 等多个黑客组织滥用。

该公司表示：“虽然 Roundcube Webmail 可能不是使用最广泛的电子邮件客户端，但由于政府机构普遍使用，它仍然是黑客攻击的目标。对该软件的攻击可能会导致重大损失，使网络犯罪分子得以窃取敏感信息。”