Một kẻ đe dọa, có thể là người gốc trung quốc, đang tích cực cố gắng khai thác lỗ hổng zero-day trong nền tảng email mã nguồn mở Zimbra như một phần của các chiến dịch lừa đảo bắt đầu vào tháng 12 năm 2021.
Hoạt động gián điệp – có tên mã “EmailThief” – được công ty an ninh mạng Volexity trình bày chi tiết trong một báo cáo kỹ thuật được công bố hôm thứ Năm, lưu ý rằng việc khai thác thành công lỗ hổng cross-site scripting (XSS) có thể dẫn đến việc thực thi mã JavaScript tùy ý trong bối cảnh phiên Zimbra của người dùng.
Volexity quy cho các cuộc xâm nhập, bắt đầu vào ngày 14 tháng 12 năm 2021, cho một nhóm hack không có giấy tờ trước đây mà nó theo dõi dưới biệt danh TEMP_HERETIC, với các cuộc tấn công nhằm vào các tổ chức truyền thông và chính phủ châu Âu. Lỗi zero-day ảnh hưởng đến phiên bản nguồn mở gần đây nhất của Zimbra đang chạy phiên bản 8.8.15.
Các cuộc tấn công được cho là đã xảy ra trong hai giai đoạn; giai đoạn đầu tiên nhằm mục đích do thám và phân phát email được thiết kế để giữ các tab nếu mục tiêu nhận và mở tin nhắn. Trong giai đoạn tiếp theo, nhiều làn sóng email đã được phát đi để lừa người nhận nhấp vào một liên kết độc hại.
Tổng cộng, 74 địa chỉ email outlook.com duy nhất đã được kẻ tấn công tạo ra để gửi tin nhắn sai sót trong khoảng thời gian hai tuần, trong đó các tin nhắn dò lại ban đầu chứa các dòng chủ đề chung từ lời mời tham gia đấu giá từ thiện đến hoàn tiền vé máy bay.
Steven Adair và Thomas Lancaster lưu ý: “Để cuộc tấn công thành công, mục tiêu sẽ phải truy cập liên kết của kẻ tấn công khi đăng nhập vào ứng dụng email trực tuyến Zimbra từ trình duyệt web. “Tuy nhiên, bản thân liên kết có thể được khởi chạy từ một ứng dụng để bao gồm một ứng dụng khách dày, chẳng hạn như Thunderbird hoặc Outlook.”
Lỗ hổng chưa được vá, nếu nó được vũ khí hóa, có thể bị lạm dụng để lọc cookie nhằm cho phép truy cập liên tục vào hộp thư, gửi thư lừa đảo từ tài khoản email bị xâm nhập để mở rộng sự lây nhiễm và thậm chí tạo điều kiện tải thêm phần mềm độc hại.
“Không có cơ sở hạ tầng nào được xác định […] Các nhà nghiên cứu cho biết: “Đối sánh chính xác với cơ sở hạ tầng được sử dụng bởi các nhóm mối đe dọa đã được phân loại trước đây. một diễn viên APT của Trung Quốc. “
“Người dùng Zimbra nên xem xét nâng cấp lên phiên bản 9.0.0, vì hiện tại không có phiên bản an toàn nào là 8.8.15”, công ty cho biết thêm.
.
