Уязвимость нулевого дня в Zimbra активно используется для кражи электронной почты

1
Азиатское подразделение медиагиганта Nikkei пострадало от атаки с использованием вымогательского ПО

Уязвимость системы безопасности Zimbra, связанная с межсайтовым скриптингом (XSS), активно используется в атаках, нацеленных на европейские СМИ и правительственные организации.

Zimbra — это платформа электронной почты и совместной работы, которая также включает в себя обмен мгновенными сообщениями, контакты, видеоконференции, обмен файлами и возможности облачного хранилища.

По данным Zimbra, ее программное обеспечение используют более 200 000 предприятий из более чем 140 стран, в том числе более 1000 государственных и финансовых организаций.

Атаки связаны с китайским злоумышленником

«На момент написания для этого эксплойта не было доступных патчей, а также ему не был присвоен CVE (т. е. это уязвимость нулевого дня)», — заявили исследователи.

«Volexity может подтвердить и протестировать, что самые последние версии Zimbra — 8.8.15 P29 и P30 — остаются уязвимыми; тестирование версии 9.0.0 показывает, что она, вероятно, не затронута».

Volexity говорит, что до сих пор она наблюдала только одного, ранее неизвестного злоумышленника, которого она отслеживала как TEMP_Heretic (предположительно, китайца), который использовал нулевой день в кампаниях целевого фишинга для кражи электронных писем.

Однако уязвимость также может позволить злоумышленникам выполнять другие вредоносные действия «в контексте сеанса веб-почты Zimbra пользователя», в том числе:

  • удаление файлов cookie для обеспечения постоянного доступа к почтовому ящику
  • рассылка фишинговых сообщений в контакты пользователя
  • отображение запроса на загрузку вредоносных программ с надежных веб-сайтов

Нулевой день используется для кражи электронной почты

С тех пор как в декабре началась эксплуатация, Volexity заметила, что TEMP_Heretic проверяет живые адреса электронной почты, используя разведывательные электронные письма со встроенными удаленными изображениями.

На следующем этапе атаки злоумышленники рассылали целевые фишинговые электронные письма с вредоносными ссылками и различной тематикой (например, запросы на интервью, приглашения на благотворительные аукционы и поздравления с праздниками) несколькими волнами в период с 16 по декабрь 2021 года.

«После нажатия на вредоносную ссылку инфраструктура злоумышленника попытается перенаправить на страницу на хосте веб-почты Zimbra целевой организации с определенным форматом URI, который — если пользователь вошел в систему — использует уязвимость, позволяющую злоумышленнику загружать произвольный JavaScript в контекст сеанса Zimbra, в котором выполнен вход», — добавили исследователи.

Вредоносный код позволял злоумышленникам просматривать электронные письма в почтовых ящиках жертв и эксфильтровать содержимое и вложения электронной почты на серверы, контролируемые злоумышленниками.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии