Forscher haben eine aktive Kampagne entdeckt, die die Zero-Day-Schwachstelle in der E-Mail-Plattform Zambra ausnutzt.
Zimbra ist eine E-Mail-Plattform, die unter einer Open-Source-Lizenz verfügbar ist. Nach Angaben des Entwicklers unterstützt die Plattform Millionen von Postfächern in 140 Ländern.
Am 3. Februar Forscher für Cybersicherheit Steve Adair und Thomas Lancaster von Volexity sagten, das System werde von einer Bedrohungsgruppe namens TEMP_Heretic und in einer Reihe von Phishing-E-Mail-Angriffen ausgenutzt.
In einer Sicherheitsempfehlung sagte Volokti, dass die Operation mit dem Namen „Operation Email Thief“ erstmals im Dezember 2021 entdeckt wurde und wahrscheinlich das Werk chinesischer Cyberkrimineller war.
Nach Angaben des Teams ist TEMP_Heretic bei der Auswahl potenzieller Opfer sorgfältig. Der bedrohliche Akteur wird zuerst E-Mails ausspionieren und in Tracker eingebettete E-Mails verwenden, um zu sehen, ob eine Adresse korrekt ist und ob ein Ziel die ersten E-Mails öffnet – und wenn ja, beginnt der zweite Schritt des Angriffs.
Insgesamt werden 74 eindeutige Microsoft Outlook-E-Mail-Adressen verwendet, um erste E-Mails zu senden, einschließlich allgemeiner Fotos und Artikel, einschließlich Einladungen, Benachrichtigungen und Rücksendungen von Flugtickets.
TEMP_Heretic sendet dann die entsprechenden Phishing-E-Mails mit einem schädlichen Link. Gezieltere Themen in späteren E-Mails bezüglich Interviewanfragen von Nachrichtenorganisationen, darunter AFP und BBC, sowie Einladungen zu Wohltätigkeitsessen. Proben anderer gesammelter Phishing-E-Mails waren häufiger und enthielten Urlaubsgrüße.
ولکسیٹی
Das Opfer muss sich über einen Webbrowser beim Zembra-Webmail-Client anmelden, wenn dieser bösartige Anhänge und Links öffnet, damit der Exploit erfolgreich ist – aber laut Volexi führt der Link selbst zu anderen Apps wie Outlook Oder Thunderbird.
ولکسیٹی
Die Schwäche von Cross-Site-Scripting (XSS) ermöglicht es Angreifern, beliebiges JavaScript im Kontext von Zimbra-Sitzungen auszuführen, wodurch E-Mail-Daten, Anhänge und Cookies gestohlen werden. Darüber hinaus können Cyberkriminelle kompromittierte E-Mail-Konten ausnutzen, um Signale zu initiieren, um weitere Phishing-E-Mails zu senden oder zusätzliche Malware-Payloads für Opfer herunterzuladen.
TEMP_HERETIC wurde zuvor mit Kampagnen verknüpft, die sich an europäische Regierungen und Medienorganisationen richteten.
Zum Zeitpunkt des Verfassens dieses Artikels, sagen die Forscher, ist kein Patch für diesen Exploit verfügbar, noch wurde ihm ein CVE zugewiesen (d. h. es besteht ein Zero-Day-Risiko). „Volexity kann bestätigen und hat getestet, dass die neuesten Versionen von Zimbra – 8.8.15 P29 und P30 – schwach sind; Tests von Version 9.0.0 zeigen, dass sie möglicherweise nicht existiert. Betroffen ist.“
Volexity hat Zembra am 16. Dezember über die versuchte Ausbeutung informiert und einen Proof-of-Concept-Code (POC) bereitgestellt. Zambra bestätigte den Bericht am 28. Dezember und bestätigte dem Cybersicherheitsteam, dass die Ausnutzung gerechtfertigt war.
Nachdem Volexity im Januar Details zu einem Patch angefordert, aber keine Antwort erhalten hatte, veröffentlichte Volexity seine Ergebnisse diesen Monat. Benutzer, die auf die neueste Version des Webmail-Clients aktualisiert haben, sind jedoch wahrscheinlich nicht gefährdet.
“Zambra-Benutzer sollten ein Upgrade in Betracht ziehen. Version 9.0.0Es gibt derzeit keine sichere Version von 8.8.15“, sagen die Forscher.
ZDNet hat Zimbra erreicht und wir werden aktualisieren, wenn wir es wieder hören.
Frühere und verwandte Berichterstattung
Haben Sie einen Tipp? Kommunizieren Sie sicher über WhatsApp | Signal an +447713 025 499 oder mehr an Basis: charlie0