【安全资讯】全球间谍活动中政府邮箱遭黑客攻击

概要：

近期，一项名为“RoundPress”的全球网络间谍活动引起了广泛关注。黑客利用零日和n日漏洞，针对多个政府组织的邮箱进行攻击，窃取敏感信息。ESET研究人员将此活动归因于俄罗斯国家支持的黑客组织APT28，显示出网络安全威胁的日益严重。

主要内容：

RoundPress活动自2023年开始，持续到2024年，主要针对Roundcube、Horde、MDaemon和Zimbra等常用的邮箱服务器。此次攻击的目标包括希腊、乌克兰、塞尔维亚和喀麦隆的政府机构，以及乌克兰和厄瓜多尔的军事单位。攻击者通过伪装成当前新闻或政治事件的钓鱼邮件，诱使受害者打开邮件，从而触发嵌入的恶意JavaScript代码，利用跨站脚本（XSS）漏洞进行攻击。

该恶意代码在受害者打开邮件时执行，创建隐形输入字段，诱使浏览器或密码管理器自动填充存储的凭证。攻击者能够窃取电子邮件内容、联系人、登录历史和双因素认证信息，并通过HTTP POST请求将数据发送至硬编码的指挥控制（C2）地址。ESET指出，RoundPress活动利用了多个XSS漏洞，包括Roundcube的CVE-2020-35730和CVE-2023-43770，以及MDaemon的CVE-2024-11182等。

尽管ESET未报告2025年的RoundPress活动，但黑客的攻击手法仍可能在新的一年中继续应用，因为流行的邮箱产品中不断出现新的XSS漏洞。这一事件不仅对相关国家的安全构成威胁，也对全球网络安全形势提出了严峻挑战。