Kampania UNC1151 wykorzystująca Roundcube

Jak poinformował dział CERT Polska, pod koniec tygodnia (5 czerwca 2025 r.) zaobserwowano ukierunkowaną kampanię phishingową, w której grupa UNC1151 atakuje polskie organizacje, wykorzystując podatność CVE-2024-42009 w Roundcube Webmail. Luka pozwala na uruchomienie złośliwego skryptu JavaScript w chwili otwarcia wiadomości e-mail, czego atakujący używają do kradzieży danych logowania użytkowników

Piotr Marciniak

6/6/20251 min read

  • Źródło alertu: CERT Polska poinformował 5 czerwca 2025 r. o ukierunkowanej kampanii mailowej wymierzonej w polskie organizacje, podczas której wykorzystywana jest luka CVE-2024-42009 w Roundcube Webmail cert.pl

  • Cel ataku: kradzież poświadczeń użytkowników Roundcube oraz ewentualne przejęcie całego serwera poczty

  • Grupa odpowiedzialna:

    • UNC1151 (alias “GhostWriter”, “Winter Vivern”) cert.pl

    • wiązana z białoruskim aparatem państwowym; wskazywane są również powiązania z rosyjskimi służbami specjalnymi cert.pl

  • Wykorzystywane podatności:

    • CVE-2024-42009 – stored / reflected XSS w Roundcube ≤ 1.6.10, uruchamia złośliwy JS po otwarciu maila cert.pl

    • CVE-2025-49113post-auth RCE wynikające z niebezpiecznej deserializacji PHP w upload.php; dotyczy Roundcube < 1.5.10 / 1.6.11 cvedetails.comroundcube.net

  • Łańcuch ataku (TTP):

    • spear-phishing ze spreparowanym tematem faktury

    • otwarcie wiadomości ⇒ XSS instaluje Service Worker

    • Service Worker przechwytuje loginy + hasła i wysyła je na domenę C2

    • zdobyte dane mogą posłużyć do zalogowania się i wykorzystania CVE-2025-49113, co daje pełne RCE na serwerze

  • Wskaźniki kompromitacji (IoC): cert.pl

    • Nadawcy: irina.vingriena@gmail.com, julitaszczepanska38@gmail.com

    • Temat: [!WAZNE] Faktura do numeru rezerwacji: S2500650676

    • Domena C2: a.mpk-krakow[.]pl

    • SHA-256 złośliwego załącznika: 70cea07c972a30597cda7a1d3cd4cd8f75acad75940ca311a5a2033e6a1dd149

    • IPv6 serwera SMTP: 2001:67c:e60:c0c:192:42:116:216

  • Zalecane działania obronne:

    • zaktualizować Roundcube do 1.6.11 (gałąź 1.6) lub 1.5.10 (gałąź 1.5) – łata CVE-2025-49113 roundcube.net

    • przejrzeć logi pod kątem połączeń do a.mpk-krakow[.]pl i żądań POST /?_task=login

    • wymusić zmianę haseł i aktywować MFA u potencjalnie zagrożonych użytkowników

    • wyrejestrować Service Worker w przeglądarce (DevTools → Application → Service Workers → Unregister)

    • ograniczyć uprawnienia użytkowników Roundcube; nie nadawać roli administratora zwykłym kontom

    • w przypadku wykrycia incydentu – zgłosić do właściwego CSIRT-u (NASK, GOV lub MON)

  • Dlaczego to krytyczne? Połączenie XSS → kradzież poświadczeń → RCE oznacza możliwość całkowitego przejęcia nie tylko skrzynek, ale i serwera poczty wypadającego poza ochronę tradycyjnych filtrów AV / spam.