استخدمت أربع مجموعات منفصلة على الأقل من الهجمات الإلكترونية ثغرة أمنية سابقة في Zimbra Collaboration Suite (ZCS) لسرقة بيانات البريد الإلكتروني وبيانات اعتماد المستخدم ورموز المصادقة المميزة من المؤسسات الحكومية على مستوى العالم.

ZCS هو خادم بريد إلكتروني وتقويم ومنصة للدردشة والفيديو، يستخدمه "الآلاف" من الشركات و"مئات الملايين" من الأفراد، وفقًا لموقع Zimbra الإلكتروني. وتتنوع منظمات عملائها مثل المعهد الياباني المتقدم للعلوم والتكنولوجيا، ومعهد ماكس بلانك الألماني، وجونونج سيو، وهي حاضنة أعمال رائدة في جنوب شرق آسيا.

الحشرة (CVE-2023-37580) هي ثغرة أمنية منعكسة في البرمجة النصية عبر المواقع (XSS) في خادم البريد الإلكتروني Zimbra الذي تم تصحيحه في 25 يوليو، مع طرح الإصلاح العاجل في مستودع GitHub العام في 5 يوليو. تقرير صادر عن مجموعة تحليل التهديدات في Google (TAG) تمت مشاركته مع Dark Reading، وبدأ استغلال يوم الصفر في يونيو، قبل أن تقدم Zimbra العلاج.

أربع هجمات إلكترونية منفصلة على حكومات العالم

كشفت Google TAG عن تفاصيل الحملات الحكومية والتي تشمل:

• 29 يونيو: مهاجمون مجهولون يستهدفون اليونان.
• 11 يوليو: حملة Winter Vivern APT تستهدف مولدوفا وتونس.
• 20 يوليو: مهاجمون مجهولون يستهدفون فيتنام.
• 25 أغسطس: مهاجمون مجهولون يستهدفون باكستان.

وفقًا لباحثي Google TAG، "كان الاكتشاف الأولي لثغرة يوم الصفر عبارة عن حملة استهدفت منظمة حكومية في اليونان". "أرسل المهاجمون رسائل بريد إلكتروني تحتوي على عناوين URL مستغلة إلى أهدافهم."

إذا نقر هدف ما على الرابط أثناء جلسة تسجيل الدخول إلى Zimbra، فسيقوم عنوان URL بتحميل إطار عمل يسرق رسائل البريد الإلكتروني والمرفقات الخاصة بالمستخدمين؛ وقام بإعداد قاعدة إعادة التوجيه التلقائي إلى عنوان بريد إلكتروني يتحكم فيه المهاجم.

في هذه الأثناء، استمرت حملة Winter Vivern لمدة أسبوعين بعد أن بدأت في 11 يوليو.

"لقد حددت TAG العديد من عناوين URL المستغلة التي استهدفت المؤسسات الحكومية في مولدوفا وتونس؛ يحتوي كل عنوان URL على عنوان بريد إلكتروني رسمي فريد لمنظمات محددة في تلك الحكومات، وفقًا لتحليل TAG.

كانت حملة يوم الصفر الثالثة، التي نفذتها مجموعة مجهولة، جزءًا من حملة تصيد احتيالي ضد منظمة حكومية في فيتنام.

وأوضح باحثو جوجل: "في هذه الحالة، أشار عنوان URL الخاص بالاستغلال إلى برنامج نصي يعرض صفحة تصيد احتيالي لبيانات اعتماد بريد الويب الخاصة بالمستخدمين، وينشر بيانات اعتماد مسروقة على عنوان URL مستضاف على نطاق حكومي رسمي والذي من المحتمل أن يكون المهاجمون قد اخترقوه".

استخدمت الحملة الرابعة ثغرة N-day لسرقة رموز مصادقة Zimbra من منظمة حكومية في باكستان.

وخلص التحذير إلى أن "اكتشاف أربع حملات على الأقل تستغل CVE-2023-37580... يوضح أهمية قيام المؤسسات بتطبيق الإصلاحات على خوادم البريد الخاصة بها في أسرع وقت ممكن". "تسلط هذه الحملات الضوء أيضًا على كيفية قيام المهاجمين بمراقبة المستودعات مفتوحة المصدر لاستغلال نقاط الضعف بشكل انتهازي حيث يكون الإصلاح موجودًا في المستودع، ولكن لم يتم إصداره للمستخدمين بعد."

يستهدف المهاجمون السيبرانيون خوادم البريد المثيرة

لقد كان هناك استغلال مستمر لنقاط الضعف في خوادم البريد، لذا يجب على المؤسسات إعطاء الأولوية لتصحيحها.

وقد ابتليت زيمبرا وحدها بالحوادث الأمنية، بما في ذلك تم استغلال خطأ تنفيذ التعليمات البرمجية عن بعد باعتباره يوم الصفر في أكتوبر 2022 و  حملة سرقة معلومات قامت بها دولة كوريا الشمالية والتي استغلت خوادم غير مُصححة. وفي يناير، حذرت CISA من الجهات الفاعلة التي تشكل تهديدًا كانوا يستغلون العديد من CVEs ضد ZCS.

في غضون ذلك ، الشهر الماضي كان Winter Vivern يستغل ثغرة يوم الصفر في Roundcube Webmail خوادم، مع حملة بريد إلكتروني ضارة تستهدف المنظمات الحكومية ومركز أبحاث في أوروبا لا تتطلب سوى أن يقوم المستخدم بعرض الرسالة.

وفقًا لـ TAG: "يُظهر الاستغلال المنتظم لثغرات XSS في خوادم البريد أيضًا الحاجة إلى مزيد من تدقيق التعليمات البرمجية لهذه التطبيقات، خاصة بالنسبة لثغرات XSS."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/attacks-breaches/apts-swarm-zimbra-zero-day-to-steal-government-info-worldwide