少なくとも XNUMX つの個別のサイバー攻撃グループが、Zimbra Collaboration Suite (ZCS) の以前のゼロデイ セキュリティ脆弱性を利用して、世界中の政府機関から電子メール データ、ユーザー資格情報、認証トークンを盗みました。
Zimbra の Web サイトによると、ZCS は電子メール サーバー、カレンダー、チャットおよびビデオのプラットフォームであり、「数千」の企業と「数億」の個人によって使用されています。 そのクライアント組織は、北陸先端科学技術大学院大学、ドイツのマックス プランク研究所、東南アジアのトップ ビジネス インキュベーターである Gunung Sewu など多岐にわたります。
不具合 (CVE-2023-37580) は、反映されたクロスサイト スクリプティング (XSS) の脆弱性です。 25 月 5 日にパッチが適用された Zimbra 電子メール サーバーで、XNUMX 月 XNUMX 日にホットフィックスがパブリック GitHub リポジトリに公開されました。 Google の脅威分析グループ (TAG) によるレポート Dark Reading と共有したところによると、ゼロデイ悪用は Zimbra が修復を提案する前の XNUMX 月に始まりました。
世界政府に対するXNUMXつの別々のサイバー攻撃
Google TAG は、次のような政府キャンペーンの詳細を明らかにしました。
- 29月XNUMX日:正体不明の攻撃者がギリシャを狙う。
- 11 月 XNUMX 日: Winter Vivern APT キャンペーンはモルドバとチュニジアをターゲットにしました。
- 20月XNUMX日:正体不明の攻撃者がベトナムを狙う。
- 25月XNUMX日: 正体不明の攻撃者がパキスタンを標的とする。
Google TAG の研究者によると、「ゼロデイ脆弱性の最初の野外発見は、ギリシャの政府機関を標的としたキャンペーンでした」とのことです。 「攻撃者は、エクスプロイト URL を含む電子メールをターゲットに送信しました。」
ログイン中のZimbraセッション中にターゲットがリンクをクリックすると、URLはユーザーの電子メールと添付ファイルを盗むフレームワークをロードします。 そして、攻撃者が制御する電子メール アドレスへの自動転送ルールを設定します。
一方、Winter Vivern キャンペーンは 11 月 XNUMX 日に始まってから XNUMX 週間続きました。
「TAG は、モルドバとチュニジアの政府機関を標的とした複数のエクスプロイト URL を特定しました。 TAG 分析によると、各 URL には、それらの政府の特定組織の一意の公式電子メール アドレスが含まれていました。
正体不明のグループによる XNUMX 回目のゼロデイ キャンペーンは、ベトナムの政府組織に対するフィッシング遠征の一部でした。
「この場合、エクスプロイトURLは、ユーザーのWebメール資格情報を求めるフィッシングページを表示し、攻撃者が侵害した可能性が高い政府の公式ドメイン上でホストされているURLに盗んだ資格情報を投稿するスクリプトを指していました」とGoogleの研究者は説明した。
XNUMX 番目のキャンペーンでは、N-day エクスプロイトを使用して、パキスタンの政府組織から Zimbra 認証トークンを盗みました。
「CVE-2023-37580を悪用する少なくともXNUMXつのキャンペーンの発見は、組織ができるだけ早くメールサーバーに修正を適用することの重要性を示しています」とこの勧告は結論づけています。 「これらのキャンペーンは、攻撃者がどのようにオープンソース リポジトリを監視し、修正がリポジトリに存在するがまだユーザーにリリースされていない脆弱性を機会に悪用する方法も強調しています。」
サイバー攻撃者がジューシーなメールサーバーを狙う
メールサーバーの脆弱性の悪用が継続的に行われているため、組織はそれらにパッチを適用することを優先する必要があります。
Zimbra だけでも次のようなセキュリティ インシデントに悩まされています。 2022 年 XNUMX 月のゼロデイとして悪用されたリモート コード実行のバグ & パッチが適用されていないサーバーを食い物にした北朝鮮による情報窃盗キャンペーン。 そして XNUMX 月、CISA は脅威アクターが ZCS に対して複数の CVE を悪用していました.
そんな中、先月 Winter Vivern は Roundcube Webmail のゼロデイ欠陥を悪用していました ヨーロッパの政府機関とシンクタンクをターゲットにした悪意のある電子メール キャンペーンでは、ユーザーがメッセージを閲覧することだけを要求されます。
TAG によると、「メール サーバーで XSS 脆弱性が定期的に悪用されていることから、これらのアプリケーション、特に XSS 脆弱性についてのさらなるコード監査の必要性が示されています。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/attacks-breaches/apts-swarm-zimbra-zero-day-to-steal-government-info-worldwide