未知威胁组织试图利用开源Roundcube网络邮件软件中现已修补的安全漏洞，进行旨在窃取用户凭证的网络钓鱼攻击。

俄罗斯网络安全公司PositiveTechnologies表示，上个月发现了一封发送给独立国家联合体(CIS)某国未指明政府组织的电子邮件。但值得注意的是，该邮件最初是在2024年6月发送的。

本周早些时候发表的分析报告称：“这封电子邮件似乎是一封没有文字的消息，只包含一个附件。”

“电子邮件客户端没有显示附件。电子邮件正文包含带有语句eval(atob())的独特标签，用于解码和执行JavaScript代码。”

根据PositiveTechnologies的说法，攻击链试图利用CVE-2024-37383（CVSS评分：6.1），这是一个通过SVG动画属性的存储型跨站点脚本(XSS)漏洞，允许在受害者的Web浏览器上下文中执行任意JavaScript。

换句话说，远程攻击者只需诱骗电子邮件收件人打开特制邮件，即可加载任意JavaScript代码并访问敏感信息。截至2024年5月，该漏洞已在1.5.7和1.6.7版本中得到解决。

PositiveTechnologies指出：“通过插入JavaScript代码作为‘href’的值，每当Roundcube客户端打开恶意电子邮件时，我们就可以就在Roundcube页面上执行它。”

在这种情况下，JavaScript有效载荷会保存空的MicrosoftWord附件（“”），然后使用ManageSieve插件从邮件服务器获取消息。它还会在向用户显示的HTML页面中显示登录表单，以欺骗受害者提供他们的Roundcube凭据。

在最后阶段，捕获的用户名和密码信息被泄露到托管在Cloudflare上的远程服务器（“libcdn[.]org”）。

目前尚不清楚此次攻击活动的幕后黑手是谁，不过Roundcube中发现的先前漏洞已被APT28、WinterVivern和TAG-70等多个黑客组织滥用。

该公司表示：“尽管Roundcube网络邮件可能不是使用最广泛的电子邮件客户端，但由于政府机构普遍使用，它仍然是黑客的目标。对该软件的攻击可能会造成重大损失，使网络犯罪分子能够窃取敏感信息。”