Η καμπάνια phishing κλέβει λογαριασμούς για διακομιστές email της Zimbra παγκοσμίως
Μια συνεχιζόμενη εκστρατεία ηλεκτρονικού ψαρέματος βρίσκεται σε εξέλιξη τουλάχιστον από τον Απρίλιο του 2023, η οποία επιχειρεί να κλέψει διαπιστευτήρια για διακομιστές
email
της Συνεργασίας Zimbra παγκοσμίως.
Σύμφωνα με
έκθεση της ESET
, τα μηνύματα ηλεκτρονικού ψαρέματος αποστέλλονται σε οργανισμούς σε όλο τον κόσμο, χωρίς συγκεκριμένη εστίαση σε συγκεκριμένους οργανισμούς ή τομείς. Ο παράγοντας απειλής πίσω από αυτή την επιχείρηση παραμένει άγνωστος προς το παρόν.
Χάρτης θερμότητας στόχων
(ESET)
Παριστάνοντας τους διαχειριστές της Zimbra
Σύμφωνα με τους ερευνητές της ESET, οι επιθέσεις ξεκινούν με ένα
μήνυμα
ηλεκτρονικού ψαρέματος που προσποιείται ότι προέρχεται από τον διαχειριστή ενός οργανισμού που ενημερώνει τους χρήστες για μια επικείμενη ενημέρωση διακομιστή email, η οποία θα έχει ως αποτέλεσμα την προσωρινή απενεργοποίηση του λογαριασμού.
Ζητείται από τον παραλήπτη να ανοίξει ένα συνημμένο αρχείο HTML για να μάθει περισσότερα σχετικά με την αναβάθμιση του διακομιστή και να διαβάσει οδηγίες σχετικά με την αποφυγή απενεργοποίησης λογαριασμών.
Περιεχόμενο ηλεκτρονικού “ψαρέματος” (
phishing
).
(ESET)
Κατά το άνοιγμα του συνημμένου HTML, θα εμφανιστεί μια ψεύτικη σελίδα σύνδεσης Zimbra που διαθέτει το λογότυπο και την επωνυμία της στοχευμένης εταιρείας για να φαίνεται αυθεντική στους στόχους.
Επίσης, το πεδίο ονόματος χρήστη στη φόρμα σύνδεσης θα είναι προσυμπληρωμένο, δίνοντας περαιτέρω νομιμότητα στη σελίδα phishing.
Σελίδα phishing Zimbra
(ESET)
Οι κωδικοί πρόσβασης λογαριασμού που έχουν εισαχθεί στη φόρμα phishing αποστέλλονται στον διακομιστή του παράγοντα απειλών μέσω αιτήματος
HTTPS
POST.
Κώδικας που διεισδύει στην είσοδο του χρήστη
(ESET)
Η ESET αναφέρει ότι σε ορισμένες περιπτώσεις, οι εισβολείς χρησιμοποιούν παραβιασμένους λογαριασμούς διαχειριστή για να δημιουργήσουν νέα γραμματοκιβώτια που χρησιμοποιούνται για τη διάδοση μηνυμάτων ηλεκτρονικού ψαρέματος σε άλλα μέλη του οργανισμού.
Οι αναλυτές υπογραμμίζουν ότι παρά την έλλειψη πολυπλοκότητας για αυτήν την
καμπάνια
, η εξάπλωση και η επιτυχία της είναι εντυπωσιακές και οι χρήστες του Zimbra Collaboration θα πρέπει να γνωρίζουν την απειλή.
Διακομιστές Zimbra υπό πυρά
Οι χάκερ στοχεύουν συνήθως διακομιστές email της Συνεργασίας Zimbra για κατασκοπεία στον κυβερνοχώρο για τη συλλογή εσωτερικών επικοινωνιών ή τη χρήση τους ως αρχικό σημείο παραβίασης για να εξαπλωθούν στο δίκτυο του οργανισμού-στόχου.
Νωρίτερα αυτό το έτος, η Proofpoint αποκάλυψε ότι η ρωσική ομάδα χάκερ «Winter Vivern» εκμεταλλεύτηκε ένα ελάττωμα της Συνεργασίας Zimbra (CVE-2022-27926) για να αποκτήσει πρόσβαση στις πύλες ηλεκτρονικού ταχυδρομείου συνδεδεμένων με το ΝΑΤΟ οργανισμών, κυβερνήσεων, διπλωματών και στρατιωτικού προσωπικού.
Πέρυσι, το Volexity ανέφερε ότι ένας ηθοποιός απειλών με το όνομα ‘
TEMP_Heretic
χρησιμοποίησε ένα τότε ελάττωμα μηδενικής ημέρας (CVE-2022-23682) στο προϊόν Zimbra Collaboration για πρόσβαση σε γραμματοκιβώτια και εκτέλεση πλευρικών επιθέσεων phishing.
«Η δημοτικότητα του Zimbra Collaboration μεταξύ των οργανισμών που αναμένεται να έχουν χαμηλότερους προϋπολογισμούς IT διασφαλίζει ότι παραμένει ελκυστικός στόχος για τους αντιπάλους», καταλήγει η ESET.
