Muhtemelen Çin kökenli bir tehdit aktörü, Aralık 2021’de başlayan hedef odaklı kimlik avı kampanyalarının bir parçası olarak Zimbra açık kaynaklı e-posta platformundaki sıfır gün güvenlik açığından aktif olarak yararlanmaya çalışıyor.
Casusluk operasyonu — kod adı “E-posta Hırsızı” — siber güvenlik şirketi Volexity tarafından Perşembe günü yayınlanan teknik bir raporda detaylandırıldı ve siteler arası komut dosyası çalıştırma (XSS) güvenlik açığından başarılı bir şekilde yararlanılmasının, kullanıcının Zimbra oturumu bağlamında rastgele JavaScript kodunun yürütülmesine neden olabileceği belirtildi.
Volexity, 14 Aralık 2021’de başlayan izinsiz girişleri, Avrupa hükümeti ve medya kuruluşlarına yönelik saldırılarla TEMP_HERETIC takma adı altında izlediği daha önce belgelenmemiş bir bilgisayar korsanlığı grubuna bağladı. Sıfır gün hatası, çalışan Zimbra’nın en son açık kaynaklı sürümünü etkiliyor 8.8.15 sürümü.
Saldırıların iki aşamada gerçekleştiğine inanılıyor; İlk aşama, bir hedef mesajları alıp açtıysa sekmeleri tutmak için tasarlanmış e-postaları keşfetmeyi ve dağıtmayı amaçlıyordu. Sonraki aşamada, alıcıları kötü niyetli bir bağlantıya tıklamaları için kandırmak için birden fazla e-posta mesajı dalgası yayınlandı.
Saldırgan tarafından, iki haftalık bir süre içinde mektupları göndermek için toplam 74 benzersiz outlook.com e-posta adresi oluşturuldu; bunların arasında, ilk keşif mesajlarının davetiyelerden hayır amaçlı müzayedelere ve uçak biletleri için para iadelerine kadar uzanan genel konu satırları yer aldı.
Steven Adair ve Thomas Lancaster, “Saldırının başarılı olması için, hedefin bir web tarayıcısından Zimbra web posta istemcisine giriş yapmışken saldırganın bağlantısını ziyaret etmesi gerekir” dedi. “Ancak bağlantının kendisi, Thunderbird veya Outlook gibi kalın bir istemciyi içerecek şekilde bir uygulamadan başlatılabilir.”
Yama uygulanmamış kusur, silaha dönüştürüldüğü takdirde, bir posta kutusuna kalıcı erişime izin vermek için çerezleri sızdırmak, bulaşmayı genişletmek için güvenliği ihlal edilmiş e-posta hesabından kimlik avı mesajları göndermek ve hatta ek kötü amaçlı yazılımların indirilmesini kolaylaştırmak için kötüye kullanılabilir.
“Hiçbiri altyapı belirlendi […] Araştırmacılar, daha önce sınıflandırılmış tehdit grupları tarafından kullanılan altyapıyla tam olarak eşleşiyor” dedi. Çinli bir APT oyuncusu.”
“Zimbra kullanıcıları, sürüm 9.0.0şu anda 8.8.15’in güvenli bir sürümü olmadığı için” diye ekledi şirket.