Istraživači kompanije ESET otkrili su tekuću phishing kampanju koja cilja korisnike softverske platforme Zimbra Collaboration. Kampanja, koja je započela najranije u aprilu 2023. godine, ima za cilj prikupljanje akreditiva korisnika Zimbra naloga.
Proces infekcije
Kampanja koristi različite mamce društvenog inženjeringa kao što je ažuriranje servera e-pošte, deaktivacija naloga ili slični problemi kako bi prevarili primaoce
- Čini se da phishing email dolazi od administratora servera e-pošte i sadrži HTML datoteku koja korisnika usmjerava na lažnu stranicu za prijavu na Zimbra.
- U nekim slučajevima, hakeri su takođe pronađeni kako koriste kompromitovane Zimbra naloge za slanje narednih talasa phishing email-ova.
- Dostavljeni akreditivi se zatim prikupljaju i šalju na server koji kontroliše haker.
Uprkos tome što nije visoko sofisticirana, kampanja je i dalje uspješna, zahvaljujući širokoj upotrebi Zimbra Collaboration paketa u više organizacija, što ih čini unosnim metama za protivnike.
Ciljane žrtve
- Ciljevi kampanje su mala i srednja preduzeća, kao i državni organi.
- Zemlje koje su najviše pogođene kampanjom su Poljska, Ekvador i Italija.
Vrijedi napomenuti
Kampanja koju je ispitao ESET oslanja se isključivo na taktiku društvenog inženjeringa i angažman korisnika. Međutim, imajte na umu da to možda nije uvijek slučaj.
- U prethodnoj kampanji koju je Proofpoint otkrio u martu 2023. godine, APT grupa Winter Vivern (također poznata kao TA473) je iskoristila ranjivost CVE-2022-27926 za ciljanje portala web pošte vojnih, vladinih i diplomatskih entiteta u evropskim zemljama.
- Još jedan slučaj koji je Volexity prijavio u februaru 2022. uključivao je grupu pod nazivom TEMP_Heretic koja je izvlačila e-poštu evropskih vlada i medijskih organizacija koristeći prednost još jedne ranjivosti (CVE-2022-24682) u funkciji kalendara Zimbra Collaboration.
- U najnovijoj referenci, EclecticIQ istraživači su ispitali kampanju koja liči na trenutnu. Primarna razlika je u tome što je HTML veza koja vodi do lažne stranice za prijavu na Zimbra direktno ugrađena u samu e-poštu.
Zaključak
Budući da se trenutna kampanja u velikoj mjeri oslanja na phishing emailove, timovima za sigurnost se savjetuje da implementišu neophodne sigurnosne kontrole e-pošte kako bi ostali sigurni. Osim toga, preporučuje se primjena najnovijih sigurnosnih ažuriranja i pregled IOC-a povezanih s kampanjom kako biste blokirali indikatore na endpointima.
Izvor: Cyware Alerts – Hacker News