Những kẻ săn mã độc tại Volexity đang lên tiếng cảnh báo về việc một kẻ đe dọa Trung Quốc bị phát hiện đang khai thác lỗ hổng zero-day trong nền tảng email Zimbra để lây nhiễm các mục tiêu truyền thông và chính phủ ở châu Âu.
Các cuộc tấn công, bắt đầu với một loạt các email lừa đảo có mục tiêu, bao gồm việc sử dụng khai thác lỗ hổng tập lệnh trên nhiều trang (XSS) vẫn chưa được vá trong nền tảng email Zimbra mã nguồn mở, Volexity cho biết trong một cố vấn phát hành muộn Thứ năm.
Các cuộc tấn công, được mô tả là đang diễn ra và "đang hoạt động", đang nhắm vào các tổ chức truyền thông và chính phủ ở Châu Âu.
“Tại thời điểm viết bài, việc khai thác này không có sẵn bản vá, cũng như chưa được chỉ định một CVE,” công ty cho biết. "Đây là một lỗ hổng trong zero-day."
Trong một phân tích kỹ thuật, Volexity cho biết tin tặc Trung Quốc đã thực hiện các chiến dịch thành nhiều đợt trong hai giai đoạn tấn công:
Giai đoạn ban đầu là nhằm mục đích do thám và liên quan đến các email được thiết kế để đơn giản theo dõi xem mục tiêu có nhận và mở tin nhắn hay không. Giai đoạn thứ hai xảy ra trong nhiều đợt chứa các thông điệp email thu hút các mục tiêu nhấp vào một liên kết độc hại do kẻ tấn công tạo ra. Để cuộc tấn công thành công, mục tiêu sẽ phải truy cập vào liên kết của kẻ tấn công khi đăng nhập vào ứng dụng email trực tuyến Zimbra từ trình duyệt web.
Việc khai thác thành công dẫn đến việc kẻ tấn công có thể chạy JavaScript tùy ý trong ngữ cảnh phiên Zimbra của người dùng. Các nhà nghiên cứu của Volexity cũng quan sát thấy kẻ tấn công cố gắng tải JavaScript để đánh cắp dữ liệu thư và tệp đính kèm của người dùng.
“Mặc dù Volexity chỉ quan sát thấy [tác nhân đe dọa] cố gắng đánh cắp email và tệp đính kèm, lỗ hổng bảo mật có thể dễ dàng cho phép kẻ tấn công thực hiện các hành động khác trong bối cảnh phiên webmail Zimbra của người dùng, bao gồm cả việc đánh cắp cookie để cho phép truy cập liên tục vào hộp thư và khả năng đưa ra lời nhắc tải xuống phần mềm độc hại trong ngữ cảnh của một trang web đáng tin cậy.
[ ĐỌC: Bắt được APT Trung Quốc phong phú bằng cách sử dụng phần mềm cấy ghép phần mềm 'MoonBounce' UEFI]
Các nhà nghiên cứu về Volexity, Steven Adair và Thomas Lancaster cho biết các phiên bản mới nhất của Zimbra - 8.8.15 P29 & P30 - vẫn dễ bị đánh cắp cookie phiên.
Dựa trên dữ liệu BinaryEdge, khoảng 33,000 máy chủ đang chạy máy chủ email Zimbra, mặc dù con số thực có thể cao hơn. Zimbra tự hào rằng khoảng 200,000 doanh nghiệp và hơn 1,000 tổ chức tài chính và chính phủ sử dụng phần mềm này.
Công ty cho biết họ không thể quy cuộc tấn công này cho một tác nhân đe dọa đã biết trước đó nhưng đã tìm thấy các hiện vật cho thấy đây là công việc của một nhà điều hành được quốc gia hậu thuẫn.
“Dựa trên tổ chức được nhắm mục tiêu và các cá nhân cụ thể của tổ chức bị nhắm mục tiêu, và do dữ liệu bị đánh cắp sẽ không có giá trị tài chính, nên có khả năng các cuộc tấn công được thực hiện bởi một diễn viên APT của Trung Quốc,” Volexity nói.
Công ty phát hành các chỉ số về dữ liệu thỏa hiệp để giúp những người bảo vệ quản lý việc chặn ở cấp cổng và mạng, đồng thời khuyến khích người dùng Zimbra phân tích dữ liệu liên kết giới thiệu lịch sử để tìm các liên kết giới thiệu và truy cập đáng ngờ.
“Người dùng Zimbra nên xem xét nâng cấp lên phiên bản 9.0.0, vì hiện tại không có phiên bản 8.8.15 an toàn nào,” công ty cho biết.
Liên quan: Các lỗ hổng cho phép tấn công máy chủ Zimbra Webmail với một email
Liên quan: Trình cài đặt chất độc được tìm thấy trong Bộ công cụ tin tặc SolarWinds
Liên quan: Microsoft: Exchange Server Zero-Days bị Tập đoàn APT Trung Quốc tấn công
Liên quan: Bắt được APT Trung Quốc phong phú bằng cách sử dụng phần mềm cấy ghép phần mềm UEFI 'MoonBounce'