APT が Zimbra ゼロデイに群がり、世界中で政府情報を盗む

少なくとも XNUMX つの個別のサイバー攻撃グループが、Zimbra Collaboration Suite (ZCS) の以前のゼロデイセキュリティ脆弱性を利用して、世界中の政府機関から電子メールデータ、ユーザー資格情報、認証トークンを盗みました。

Zimbra の Web サイトによると、ZCS は電子メールサーバー、カレンダー、チャットおよびビデオのプラットフォームであり、「数千」の企業と「数億」の個人によって使用されています。そのクライアント組織は、北陸先端科学技術大学院大学、ドイツのマックスプランク研究所、東南アジアのトップビジネスインキュベーターである Gunung Sewu など多岐にわたります。

不具合 (CVE-2023-37580) は、反映されたクロスサイトスクリプティング (XSS) の脆弱性です。 25 月 5 日にパッチが適用された Zimbra 電子メールサーバーで、XNUMX 月 XNUMX 日にホットフィックスがパブリック GitHub リポジトリに公開されました。 Google の脅威分析グループ (TAG) によるレポート Dark Reading と共有したところによると、ゼロデイ悪用は Zimbra が修復を提案する前の XNUMX 月に始まりました。

世界政府に対するXNUMXつの別々のサイバー攻撃

Google TAG は、次のような政府キャンペーンの詳細を明らかにしました。

29月XNUMX日：正体不明の攻撃者がギリシャを狙う。
11 月 XNUMX 日: Winter Vivern APT キャンペーンはモルドバとチュニジアをターゲットにしました。
20月XNUMX日：正体不明の攻撃者がベトナムを狙う。
25月XNUMX日: 正体不明の攻撃者がパキスタンを標的とする。

Google TAG の研究者によると、「ゼロデイ脆弱性の最初の野外発見は、ギリシャの政府機関を標的としたキャンペーンでした」とのことです。「攻撃者は、エクスプロイト URL を含む電子メールをターゲットに送信しました。」

ログイン中のZimbraセッション中にターゲットがリンクをクリックすると、URLはユーザーの電子メールと添付ファイルを盗むフレームワークをロードします。そして、攻撃者が制御する電子メールアドレスへの自動転送ルールを設定します。

一方、Winter Vivern キャンペーンは 11 月 XNUMX 日に始まってから XNUMX 週間続きました。

「TAG は、モルドバとチュニジアの政府機関を標的とした複数のエクスプロイト URL を特定しました。 TAG 分析によると、各 URL には、それらの政府の特定組織の一意の公式電子メールアドレスが含まれていました。

正体不明のグループによる XNUMX 回目のゼロデイキャンペーンは、ベトナムの政府組織に対するフィッシング遠征の一部でした。

「この場合、エクスプロイトURLは、ユーザーのWebメール資格情報を求めるフィッシングページを表示し、攻撃者が侵害した可能性が高い政府の公式ドメイン上でホストされているURLに盗んだ資格情報を投稿するスクリプトを指していました」とGoogleの研究者は説明した。

XNUMX 番目のキャンペーンでは、N-day エクスプロイトを使用して、パキスタンの政府組織から Zimbra 認証トークンを盗みました。

「CVE-2023-37580を悪用する少なくともXNUMXつのキャンペーンの発見は、組織ができるだけ早くメールサーバーに修正を適用することの重要性を示しています」とこの勧告は結論づけています。「これらのキャンペーンは、攻撃者がどのようにオープンソースリポジトリを監視し、修正がリポジトリに存在するがまだユーザーにリリースされていない脆弱性を機会に悪用する方法も強調しています。」

サイバー攻撃者がジューシーなメールサーバーを狙う

メールサーバーの脆弱性の悪用が継続的に行われているため、組織はそれらにパッチを適用することを優先する必要があります。

Zimbra だけでも次のようなセキュリティインシデントに悩まされています。 2022 年 XNUMX 月のゼロデイとして悪用されたリモートコード実行のバグ & パッチが適用されていないサーバーを食い物にした北朝鮮による情報窃盗キャンペーン。そして XNUMX 月、CISA は脅威アクターが ZCS に対して複数の CVE を悪用していました.

そんな中、先月 Winter Vivern は Roundcube Webmail のゼロデイ欠陥を悪用していましたヨーロッパの政府機関とシンクタンクをターゲットにした悪意のある電子メールキャンペーンでは、ユーザーがメッセージを閲覧することだけを要求されます。

TAG によると、「メールサーバーで XSS 脆弱性が定期的に悪用されていることから、これらのアプリケーション、特に XSS 脆弱性についてのさらなるコード監査の必要性が示されています。」

SEO を活用したコンテンツと PR 配信。今日増幅されます。
PlatoData.Network 垂直生成 Ai。自分自身に力を与えましょう。こちらからアクセスしてください。
プラトアイストリーム。 Web3 インテリジェンス。知識増幅。こちらからアクセスしてください。
プラトンESG。カーボン、クリーンテック、エネルギー、環境、太陽、廃棄物管理。こちらからアクセスしてください。
プラトンヘルス。バイオテクノロジーと臨床試験のインテリジェンス。こちらからアクセスしてください。
情報源： https://www.darkreading.com/attacks-breaches/apts-swarm-zimbra-zero-day-to-steal-government-info-worldwide

生成的データインテリジェンス

Zimbra ゼロデイに APT が群がり、世界中で政府情報を盗み出す

世界政府に対するXNUMXつの別々のサイバー攻撃

サイバー攻撃者がジューシーなメールサーバーを狙う

バーンスタインのアナリスト、仮想通貨市場は7.5年に2025兆ドルに成長すると予測 – CryptoCurrencyWire

LayerZero Labs、公正なトークン配布をターゲットに Sybil の悪用を阻止

最新のインテリジェンス

LayerZero Labs、公正なトークン配布をターゲットに Sybil の悪用を阻止

Crypto.com が世界ユーザー数 100 億人を突破

AI が顧客サービスに与える影響

GBMオークション、ポルカドットクリエイターのギャビン・ウッド博士との記念品オークションを開催 – Crypto-News.net

バイデン政権の保留中のマリファナ再分類は大麻企業の巨額減税につながる可能性 – 医療用マリファナプログラム関連

ビットコインは73,000月にXNUMX万XNUMXドルに達する可能性はあるのか？修正は終わった、集会の時間だ! – クリプトインフォネット