🌍The Next Web (TNW)•最新收集於 31m
中國間諜利用 Roundcube 漏洞攻擊大學郵件系統

💡重大安全警報:開源郵件伺服器漏洞正被用於國家級間諜活動。
⚡ 30-Second TL;DR
有什麼變化
Proofpoint 將此行動識別為 UNK_MassTraction
為什麼重要
這凸顯了學術環境中開源郵件基礎設施的脆弱性。這對國家安全與工程研究數據的完整性構成了重大風險。
下一步行動
立即審核貴組織的 Roundcube 安裝,並確保已更新至最新版本。
誰應關注:Enterprise & Security Teams
關鍵要點
- •Proofpoint 將此行動識別為 UNK_MassTraction
- •攻擊者竊取高價值研究人員的憑證
- •該行動至少自五月起便已開始活躍
- •目標領域涵蓋物理、工程及國家安全
🧠 深度解析
AI-generated analysis for this event.
🔑 增強重點摘要
- •UNK_MassTraction 攻擊者利用了 Roundcube Webmail 軟體中已知的跨站腳本(XSS)漏洞,透過精心設計的惡意郵件觸發漏洞執行代碼。
- •該組織在入侵成功後,會配置 Roundcube 的郵件轉發規則,將受害者的郵件自動抄送至攻擊者控制的外部電子郵件地址,以實現長期監控。
- •研究人員發現該攻擊行動與過去被稱為 TA413 的威脅行為者存在戰術、技術和程序(TTPs)上的高度重疊,暗示其可能為同一組織或其分支。
- •攻擊者特別針對使用過時或未及時修補 Roundcube 版本的學術機構,顯示其利用了軟體供應鏈中維護不善的伺服器作為切入點。
- •除了竊取憑證外,該組織還利用惡意腳本從受害者的郵件帳戶中提取通訊錄與敏感附件,以擴大情報收集範圍。
🛠️ 技術深入
- 漏洞利用機制:攻擊者利用 Roundcube 的郵件預覽功能,透過惡意構造的 HTML 郵件內容觸發 XSS 漏洞,繞過內容安全策略(CSP)。
- 惡意腳本功能:注入的 JavaScript 腳本能夠在用戶瀏覽器會話中執行,進而讀取郵件內容、修改帳戶設定並竊取 Session Cookie。
- 數據外洩路徑:攻擊者透過修改 Roundcube 的 'identities' 或 'filters' 設定,將郵件自動轉發至攻擊者架設的匿名郵件伺服器。
- 基礎設施特徵:攻擊者使用的 C2(命令與控制)伺服器通常偽裝成合法的學術或研究機構域名,以規避網路流量監控。
🔮 前景展望AI analysis grounded in cited sources
學術機構將面臨更嚴格的郵件系統安全合規審查。
由於針對大學研究數據的間諜活動頻繁,政府資助機構可能會強制要求學術單位採用更強大的多重身份驗證(MFA)及郵件安全閘道。
Roundcube 等開源郵件軟體的供應鏈安全將成為資安防禦重點。
此次攻擊凸顯了開源郵件系統在未及時更新時的脆弱性,預計未來將有更多針對此類軟體的自動化漏洞掃描與修補監控工具出現。
⏳ 時間線
2023-10
資安研究人員首次觀察到針對 Roundcube 的大規模 XSS 漏洞利用活動。
2024-05
UNK_MassTraction 被識別並開始針對全球高等教育機構進行系統性攻擊。
2025-02
Roundcube 發布關鍵安全性更新,修復了被該組織廣泛利用的 XSS 漏洞。
2026-05
監測數據顯示 UNK_MassTraction 針對物理與國家安全領域的攻擊活動再次活躍。
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: The Next Web (TNW) ↗



