Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

APT tấn công Zimbra Zero-Day để đánh cắp thông tin chính phủ trên toàn thế giới

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 177

Ít nhất bốn nhóm tấn công mạng riêng biệt đã sử dụng lỗ hổng bảo mật zero-day trước đây trong Bộ cộng tác Zimbra (ZCS) để đánh cắp dữ liệu email, thông tin xác thực của người dùng và mã thông báo xác thực từ các tổ chức chính phủ trên toàn cầu.

Theo trang web Zimbra, ZCS là một máy chủ email, lịch, nền tảng trò chuyện và video, được sử dụng bởi “hàng nghìn” công ty và “hàng trăm triệu” cá nhân. Các tổ chức khách hàng của nó rất đa dạng như Viện Khoa học và Công nghệ Tiên tiến Nhật Bản, Viện Max Planck của Đức và Gunung Sewu, vườn ươm doanh nghiệp hàng đầu ở Đông Nam Á.

Con bọ (CVE-2023-37580) là một lỗ hổng tập lệnh chéo trang (XSS) được phản ánh trong máy chủ email Zimbra đã được vá vào ngày 25 tháng 5, với một bản sửa lỗi nóng được triển khai trên kho lưu trữ GitHub công khai vào ngày XNUMX tháng XNUMX. Theo một báo cáo báo cáo của Nhóm phân tích mối đe dọa (TAG) của Google được chia sẻ với Dark Reading, việc khai thác zero-day bắt đầu vào tháng XNUMX, trước khi Zimbra đưa ra biện pháp khắc phục.

Bốn cuộc tấn công mạng riêng biệt vào các chính phủ thế giới

Google TAG đã tiết lộ thông tin chi tiết về các chiến dịch của chính phủ, bao gồm:

  • 29 tháng XNUMX: Những kẻ tấn công không rõ mục tiêu là Hy Lạp.
  • Ngày 11 tháng XNUMX: Chiến dịch APT Winter Vivern nhắm vào Moldova và Tunisia.
  • 20 tháng XNUMX: Những kẻ tấn công không xác định nhắm vào Việt Nam.
  • 25 tháng XNUMX: Những kẻ tấn công không rõ mục tiêu là Pakistan.

Theo các nhà nghiên cứu của Google TAG, phát hiện ban đầu về lỗ hổng zero-day là một chiến dịch nhắm vào một tổ chức chính phủ ở Hy Lạp. “Những kẻ tấn công đã gửi email chứa URL khai thác tới mục tiêu của chúng.”

Nếu mục tiêu nhấp vào liên kết trong phiên Zimbra đăng nhập, URL sẽ tải một khung đánh cắp email và tệp đính kèm của người dùng; và nó thiết lập quy tắc tự động chuyển tiếp đến địa chỉ email do kẻ tấn công kiểm soát.

Trong khi đó, chiến dịch Winter Vivern đã kéo dài hai tuần sau khi bắt đầu vào ngày 11 tháng XNUMX.

“TAG đã xác định nhiều URL khai thác nhắm mục tiêu vào các tổ chức chính phủ ở Moldova và Tunisia; mỗi URL chứa một địa chỉ email chính thức duy nhất cho các tổ chức cụ thể trong các chính phủ đó”, theo phân tích của TAG.

Chiến dịch zero-day thứ ba do một nhóm không rõ danh tính thực hiện là một phần của chiến dịch lừa đảo nhằm vào một tổ chức chính phủ ở Việt Nam.

Các nhà nghiên cứu của Google giải thích: “Trong trường hợp này, URL khai thác trỏ đến một tập lệnh hiển thị trang lừa đảo để lấy thông tin xác thực webmail của người dùng và đăng thông tin xác thực bị đánh cắp lên một URL được lưu trữ trên miền chính thức của chính phủ mà những kẻ tấn công có thể đã xâm phạm”.

Chiến dịch thứ tư sử dụng cách khai thác N-day để đánh cắp mã thông báo xác thực Zimbra từ một tổ chức chính phủ ở Pakistan.

“Việc phát hiện ra ít nhất bốn chiến dịch khai thác CVE-2023-37580… chứng tỏ tầm quan trọng của việc các tổ chức áp dụng các bản sửa lỗi cho máy chủ thư của họ càng sớm càng tốt”, cố vấn kết luận. “Các chiến dịch này cũng nêu bật cách kẻ tấn công giám sát các kho lưu trữ nguồn mở để khai thác cơ hội các lỗ hổng có bản sửa lỗi trong kho lưu trữ nhưng chưa được phát hành cho người dùng.”

Những kẻ tấn công mạng nhắm mục tiêu vào các máy chủ thư ngon ngọt

Các lỗ hổng trong máy chủ thư vẫn đang bị khai thác, vì vậy các tổ chức nên ưu tiên vá chúng.

Riêng Zimbra đã gặp khó khăn bởi các sự cố an ninh, bao gồm cả một lỗi thực thi mã từ xa được khai thác dưới dạng zero-day vào tháng 2022 năm XNUMX và một chiến dịch đánh cắp thông tin của quốc gia Bắc Triều Tiên nhắm vào các máy chủ chưa được vá. Và vào tháng XNUMX, CISA đã cảnh báo rằng các tác nhân đe dọa đang khai thác nhiều CVE chống lại ZCS.

Trong khi đó, tháng trước Winter Vivern đang khai thác lỗ hổng zero-day trong Roundcube Webmail máy chủ, với một chiến dịch email độc hại nhắm vào các tổ chức chính phủ và một tổ chức tư vấn ở Châu Âu chỉ yêu cầu người dùng xem tin nhắn.

Theo TAG: “Việc khai thác thường xuyên các lỗ hổng XSS trong máy chủ thư cũng cho thấy cần phải tăng cường kiểm tra mã đối với các ứng dụng này, đặc biệt là đối với các lỗ hổng XSS”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.