En az dört ayrı siber saldırı grubu, dünya çapındaki devlet kuruluşlarından e-posta verilerini, kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çalmak için Zimbra Collaboration Suite'teki (ZCS) eski bir sıfır gün güvenlik açığını kullandı.

Zimbra web sitesine göre ZCS, "binlerce" şirket ve "yüz milyonlarca" kişi tarafından kullanılan bir e-posta sunucusu, takvim, sohbet ve video platformudur. Müşteri kuruluşları, Japonya İleri Bilim ve Teknoloji Enstitüsü, Almanya'nın Max Planck Enstitüsü ve Güneydoğu Asya'nın önde gelen iş kuluçka merkezi Gunung Sewu kadar çeşitlidir.

Böcek (CVE-2023-37580), yansıtılan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır 25 Temmuz'da yamalanan Zimbra e-posta sunucusunda, 5 Temmuz'da herkese açık GitHub deposunda bir düzeltme yayınlanacak. Google'ın Tehdit Analiz Grubu'nun (TAG) raporu Dark Reading ile paylaşılan sıfır gün istismarı, Zimbra'nın iyileştirme teklifinden önce Haziran ayında başladı.

Dünya Hükümetlerine Dört Ayrı Siber Saldırı

Google TAG, hükümet kampanyalarıyla ilgili aşağıdakileri içeren ayrıntıları açıkladı:

• 29 Haziran: Bilinmeyen saldırganlar Yunanistan'ı hedef alıyor.
• 11 Temmuz: Winter Vivern APT kampanyası Moldova ve Tunus'u hedef alıyor.
• 20 Temmuz: Bilinmeyen saldırganlar Vietnam'ı hedef alıyor.
• 25 Ağustos: Bilinmeyen saldırganlar Pakistan'ı hedef alıyor.

Google TAG araştırmacılarına göre "Sıfır gün güvenlik açığının ilk doğal keşfi, Yunanistan'daki bir hükümet kuruluşunu hedef alan bir kampanyaydı." "Saldırganlar hedeflerine istismar URL'leri içeren e-postalar gönderdiler."

Bir hedef, Zimbra oturumunun açık olduğu bir oturum sırasında bağlantıya tıkladıysa, URL, kullanıcıların e-postalarını ve eklerini çalan bir çerçeve yükledi; ve saldırgan tarafından kontrol edilen bir e-posta adresine otomatik yönlendirme kuralı oluşturdu.

Bu arada Winter Vivern kampanyası 11 Temmuz'da başladıktan sonra iki hafta boyunca devam etti.

“TAG, Moldova ve Tunus'taki devlet kuruluşlarını hedef alan çok sayıda kötüye kullanım URL'si tespit etti; TAG analizine göre her URL, bu hükümetlerdeki belirli kuruluşlar için benzersiz bir resmi e-posta adresi içeriyordu.

Kimliği belirsiz bir grup tarafından gerçekleştirilen üçüncü sıfır gün kampanyası, Vietnam'daki bir hükümet kuruluşuna yönelik kimlik avı saldırısının parçasıydı.

Google araştırmacıları, "Bu durumda, istismar URL'si, kullanıcıların web postası kimlik bilgileri için bir kimlik avı sayfası görüntüleyen ve çalınan kimlik bilgilerini, saldırganların büyük olasılıkla ele geçirdiği resmi bir hükümet etki alanında barındırılan bir URL'ye gönderen bir komut dosyasına işaret ediyordu" dedi.

Dördüncü kampanyada, Pakistan'daki bir hükümet kuruluşundan Zimbra kimlik doğrulama tokenlarını çalmak için N günlük bir istismar kullanıldı.

Bildiride şu sonuca varılıyor: "CVE-2023-37580'i kullanan en az dört kampanyanın keşfi… kuruluşların posta sunucularına mümkün olan en kısa sürede düzeltmeler uygulamasının önemini gösteriyor." "Bu kampanyalar aynı zamanda saldırganların, düzeltmenin depoda olduğu ancak henüz kullanıcılara yayınlanmadığı güvenlik açıklarından fırsatçı bir şekilde yararlanmak için açık kaynak depolarını nasıl izlediğini de vurguluyor."

Siber Saldırganlar Sık Kullanılan Posta Sunucularını Hedefliyor

Posta sunucularındaki güvenlik açıklarından sürekli olarak yararlanılıyor, bu nedenle kuruluşların bu güvenlik açıklarına yama uygulamasına öncelik vermesi gerekiyor.

Zimbra tek başına güvenlik olaylarıyla boğuşuyor; Ekim 2022'de sıfır gün olarak istismar edilen bir uzaktan kod yürütme hatası ve Kuzey Kore ulusunun yamalı sunucuları hedef alan bir bilgi çalma kampanyası. Ocak ayında CISA, tehdit aktörlerini uyardı ZCS'ye karşı birden fazla CVE'den yararlanılıyordu.

Bu arada geçen ay Winter Vivern, Roundcube Webmail'deki sıfır gün kusurundan yararlanıyordu Avrupa'daki hükümet kuruluşlarını ve bir düşünce kuruluşunu hedef alan, kullanıcının yalnızca bir mesajı görüntülemesini gerektiren kötü niyetli bir e-posta kampanyası yürüten sunucular.

TAG'a göre: "Posta sunucularındaki XSS güvenlik açıklarından düzenli olarak yararlanılması, özellikle XSS güvenlik açıkları açısından bu uygulamaların daha fazla kod denetimine ihtiyaç duyulduğunu da gösteriyor."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/attacks-breaches/apts-swarm-zimbra-zero-day-to-steal-government-info-worldwide