Çin bağlantılı hackerlar, Roundcube açıklarını kullanarak üniversitelere saldırıyor

Anasayfa » Çin bağlantılı hackerlar, Roundcube açıklarını kullanarak üniversitelere saldırıyor
Çin bağlantılı hackerlar, Roundcube açıklarını kullanarak üniversitelere saldırıyor

Son dönemde ortaya çıkan yeni bir siber saldırı kampanyasında, Çin ile ilişkili olduğu düşünülen tehdit aktörleri, açık kaynaklı e-posta çözümü Roundcube’daki kritik güvenlik açıklarını istismar ederek üniversiteleri hedef aldı. Saldırılar, özellikle milli güvenlik ilişkili bölümler ve astrofizik ile parçacık fiziği alanlarında çalışan akademisyenler ile yöneticilere odaklandı.

Saldırı Zinciri ve Teknik Detaylar

Kampanyada, Mayıs 2026’dan itibaren CVE-2024-42009 numaralı ve CVSS puanı 9,3 olan, kısa süre önce yamalanmış bir XSS açığı kullanıldı. Bu açık, kurbanların Roundcube istemcisinde e-postayı açmasıyla mail sunucusuna erişim sağlıyor. Ardından, kimlik bilgileri ele geçirilip, kalıcı erişim için web shell veya VShell adlı post-exploitation aracı yükleniyor.

İlginç olan, hedeflerin tamamının, yamalanmamış veya hala N-day olarak kalan Roundcube sürümlerini kullanması. Bu da saldırganların önceden kapsamlı keşif yaparak, ortamlarla ilgili ayrıntılı bilgi topladığını ortaya koyuyor. Phishing e-postalarında hem ele geçirilmiş gönderici hesapları hem de zayıf DMARC politikaları nedeniyle taklit edilebilir alan adları kullanılmış.

Kullanılan Araçlar ve Teknikler

IceCube kod adını taşıyan zararlı JavaScript, tarayıcıda saklanan kimlik bilgileri, iki faktörlü kimlik doğrulama verileri ve çerezleri çalıyor. Ayrıca, hedef tarayıcı dilini, ekran boyutunu ve form alanı değerlerini toplamak için kendi keşif faaliyetini yürütüyor. Elde edilen veriler, harici bir sunucuya HTTP POST isteğiyle gönderiliyor.

Sonrasında, IceCube, oturumdaki CSRF tokenini kullanarak Roundcube’daki başka bir kritik açığı (CVE-2025-49113, CVSS 9,9) tetikliyor ve sunucuya VShell ya da SquareShell adlı web shell yükleyerek kalıcı erişim sağlıyor. SquareShell, PHP tabanlı ve uzak kod yürütmeye izin veren bir web shell. Kurulum başarısız olursa, saldırı zinciri alternatif olarak bir shell betiği kullanıyor. Bu betik, SNOWLIGHT adlı ELF yükleyiciyi indirip çalıştırarak saldırganlara yeni kapılar açıyor. Bu araçlar geçmişte UNC5174 adlı Çin bağlantılı tehdit grubuyla ilişkilendirilmiş.

Tehditin Kapsamı ve Savunma Önerileri

Bu kampanya, özellikle kritik araştırma alanlarında faaliyet gösteren akademisyenler ve yöneticileri hedef alıyor. Saldırganlar, Roundcube sunucularını ağ içine sızmak için bir pivot noktası olarak kullanıyor ve tespit edilmemek için karmaşık enfeksiyon zincirleri oluşturuyor.

Önerilen önlemler arasında yazılım yamalarının zamanında uygulanması, DMARC politikalarının sıkılaştırılması, e-posta güvenliği çözümlerinin devreye alınması ve mail sunucularının VPN konsantratörleri ile diğer uzak erişim noktaları kadar iyi korunması yer alıyor. Ayrıca, EDR ve SIEM sistemlerinin Roundcube aktivitelerini izlemesi önem taşıyor.

Kampanyadan Çıkarılacak Dersler

Son analizler, e-posta temelli saldırıların mail sunucularına doğrudan zarar verebileceğine işaret ediyor. Çin bağlantılı gruplar, bu sunucuları ağın kenar cihazları gibi değerlendirip, erişim noktası olarak kullanmaya devam edecek. Bu nedenle kurumların e-posta sunucularını ihmal etmemesi gerekiyor.

Bu olay, karmaşık ve sofistike saldırı zincirlerinin artık akademik ve milli güvenlik alanlarında bile görülebileceğini gösteriyor. Kurumsal ağ segmentasyonu, çok faktörlü kimlik doğrulama ve kapsamlı olay müdahale planları oluşturmak artık daha elzem hale geldi.