Những kẻ săn mã độc tại Volexity đang lên tiếng cảnh báo về việc một kẻ đe dọa Trung Quốc bị phát hiện đang khai thác lỗ hổng zero-day trong nền tảng email Zimbra để lây nhiễm các mục tiêu truyền thông và chính phủ ở châu Âu.
Các cuộc tấn công, bắt đầu với một loạt các email lừa đảo có mục tiêu, bao gồm việc sử dụng khai thác lỗ hổng tập lệnh trên nhiều trang (XSS) vẫn chưa được vá trong nền tảng email Zimbra mã nguồn mở, Volexity cho biết trong một cố vấn phát hành muộn Thứ năm.
Các cuộc tấn công, được mô tả là đang diễn ra và "đang hoạt động", đang nhắm vào các tổ chức truyền thông và chính phủ ở Châu Âu.
“Tại thời điểm viết bài, việc khai thác này không có sẵn bản vá, cũng như chưa được chỉ định một CVE,” công ty cho biết. "Đây là một lỗ hổng trong zero-day."
Trong một phân tích kỹ thuật, Volexity cho biết tin tặc Trung Quốc đã thực hiện các chiến dịch thành nhiều đợt trong hai giai đoạn tấn công:
Giai đoạn ban đầu là nhằm mục đích do thám và liên quan đến các email được thiết kế để đơn giản theo dõi xem mục tiêu có nhận và mở tin nhắn hay không. Giai đoạn thứ hai xảy ra trong nhiều đợt chứa các thông điệp email thu hút các mục tiêu nhấp vào một liên kết độc hại do kẻ tấn công tạo ra. Để cuộc tấn công thành công, mục tiêu sẽ phải truy cập vào liên kết của kẻ tấn công khi đăng nhập vào ứng dụng email trực tuyến Zimbra từ trình duyệt web.
Việc khai thác thành công dẫn đến việc kẻ tấn công có thể chạy JavaScript tùy ý trong ngữ cảnh phiên Zimbra của người dùng. Các nhà nghiên cứu của Volexity cũng quan sát thấy kẻ tấn công cố gắng tải JavaScript để đánh cắp dữ liệu thư và tệp đính kèm của người dùng.
“Mặc dù Volexity chỉ quan sát thấy [tác nhân đe dọa] cố gắng đánh cắp email và tệp đính kèm, lỗ hổng bảo mật có thể dễ dàng cho phép kẻ tấn công thực hiện các hành động khác trong bối cảnh phiên webmail Zimbra của người dùng, bao gồm cả việc đánh cắp cookie để cho phép truy cập liên tục vào hộp thư và khả năng đưa ra lời nhắc tải xuống phần mềm độc hại trong ngữ cảnh của một trang web đáng tin cậy.
[ ĐỌC: Bắt được APT Trung Quốc phong phú bằng cách sử dụng phần mềm cấy ghép phần mềm 'MoonBounce' UEFI]
Các nhà nghiên cứu về Volexity, Steven Adair và Thomas Lancaster cho biết các phiên bản mới nhất của Zimbra - 8.8.15 P29 & P30 - vẫn dễ bị đánh cắp cookie phiên.
Dựa trên dữ liệu BinaryEdge, khoảng 33,000 máy chủ đang chạy máy chủ email Zimbra, mặc dù con số thực có thể cao hơn. Zimbra tự hào rằng khoảng 200,000 doanh nghiệp và hơn 1,000 tổ chức tài chính và chính phủ sử dụng phần mềm này.
Công ty cho biết họ không thể quy cuộc tấn công này cho một tác nhân đe dọa đã biết trước đó nhưng đã tìm thấy các hiện vật cho thấy đây là công việc của một nhà điều hành được quốc gia hậu thuẫn.
“Dựa trên tổ chức được nhắm mục tiêu và các cá nhân cụ thể của tổ chức bị nhắm mục tiêu, và do dữ liệu bị đánh cắp sẽ không có giá trị tài chính, nên có khả năng các cuộc tấn công được thực hiện bởi một diễn viên APT của Trung Quốc,” Volexity nói.
Công ty phát hành các chỉ số về dữ liệu thỏa hiệp để giúp những người bảo vệ quản lý việc chặn ở cấp cổng và mạng, đồng thời khuyến khích người dùng Zimbra phân tích dữ liệu liên kết giới thiệu lịch sử để tìm các liên kết giới thiệu và truy cập đáng ngờ.
“Người dùng Zimbra nên xem xét nâng cấp lên phiên bản 9.0.0, vì hiện tại không có phiên bản 8.8.15 an toàn nào,” công ty cho biết.
Liên quan: Các lỗ hổng cho phép tấn công máy chủ Zimbra Webmail với một email
Liên quan: Trình cài đặt chất độc được tìm thấy trong Bộ công cụ tin tặc SolarWinds
Liên quan: Microsoft: Exchange Server Zero-Days bị Tập đoàn APT Trung Quốc tấn công
Liên quan: Bắt được APT Trung Quốc phong phú bằng cách sử dụng phần mềm cấy ghép phần mềm UEFI 'MoonBounce'
Ryan Naraine là Tổng biên tập tại SecurityWeek và là người dẫn chương trình nổi tiếng Cuộc trò chuyện bảo mật Những kênh của những chuỗi bài nghe chọn lọc. Ông là nhà báo và chiến lược gia an ninh mạng với hơn 20 năm kinh nghiệm về các xu hướng công nghệ và bảo mật CNTT.
Ryan đã xây dựng các chương trình tham gia bảo mật tại các thương hiệu toàn cầu lớn, bao gồm Intel Corp., Bishop Fox và Kaspersky GReAT. Ông là đồng sáng lập của Threatpost và chuỗi hội nghị SAS toàn cầu. Sự nghiệp của Ryan với tư cách là một nhà báo bao gồm các nội dung phụ tại các ấn phẩm công nghệ lớn bao gồm Ziff Davis eWEEK, ZDNet của CBS Interactive, PCMag và PC World.
Ryan là giám đốc của tổ chức phi lợi nhuận Security Tinkerers và là diễn giả thường xuyên tại các hội nghị bảo mật trên toàn thế giới.
Theo dõi Ryan trên Twitter @ryanaraine.
tags:
