یک عامل تهدید که احتمالاً منشأ چینی دارد، در تلاش است تا از یک آسیبپذیری Zero-Day در پلتفرم ایمیل Open Source زیمبرا به عنوان بخشی از کمپینهای spear-phishing که در دسامبر 2021 آغاز شد، سوءاستفاده کند.
این عملیات جاسوسی با نام رمز "EmailThief" توسط شرکت امنیت سایبری Volexity در گزارشی فنی که روز پنجشنبه منتشر شد، شرح داده شد و اشاره کرد که سوءاستفاده موفقیتآمیز از این آسیبپذیری XSS میتواند منجر به اجرای کدهای جاوا اسکریپت دلخواه در زمینه sessionهای کاربران در زیمبرا شود.
Volexity این نفوذها را که در ۱۴ دسامبر ۲۰۲۱ آغاز شد، به یک گروه هکری ناشناخته با نام TEMP_HERETIC با هدف حملات به دولت و نهادهای رسانهای اروپایی نسبت داد.
این آسیبپذیری بر جدیدترین نسخه Zimbra که نسخه 8.8.15 است تأثیر می گذارد.
در مجموع 74 آدرس ایمیل منحصربهفرد outlook.com توسط مهاجم برای ارسال پیامها در مدت دو هفته ایجاد شد، که در میان آنها پیامهایی با موضوعات کلی از دعوتنامهها تا حراجهای خیریه تا بازپرداخت بلیتهای هواپیمایی بود.
استیون آدایر و توماس لنکستر گفتند: برای موفقیتآمیز بودن حمله، هدف باید در حالی که از طریق یک مرورگر به سرویس گیرنده ایمیل زیمبرا وارد شده است، از لینک مهاجم بازدید کند.
در صورت استفاده از این نقص، مهاجم میتواند برای استخراج کوکیها برای دسترسی دائمی به صندوق پستی، ارسال پیامهای فیشینگ از حساب ایمیل آسیبپذیر برای گسترش آلودگی و حتی تسهیل دانلود بدافزارهای دیگر مورد استفاده قرار دهد.
به گفته محققان هیچ یک از زیرساختهای شناسایی دقیقاً با زیرساختهای مورد استفاده توسط گروههای طبقهبندی شده قبلی مطابقت ندارد. به احتمال زیاد این حملات توسط یک گروه چینی APT انجام شده است.
این شرکت توصیه میکند که کاربران زیمبرا خود را به نسخه 9.0.0 ارتقاء دهند، زیرا در حال حاضر نسخه 8.8.15 ایمن نیست.
این عملیات جاسوسی با نام رمز "EmailThief" توسط شرکت امنیت سایبری Volexity در گزارشی فنی که روز پنجشنبه منتشر شد، شرح داده شد و اشاره کرد که سوءاستفاده موفقیتآمیز از این آسیبپذیری XSS میتواند منجر به اجرای کدهای جاوا اسکریپت دلخواه در زمینه sessionهای کاربران در زیمبرا شود.
Volexity این نفوذها را که در ۱۴ دسامبر ۲۰۲۱ آغاز شد، به یک گروه هکری ناشناخته با نام TEMP_HERETIC با هدف حملات به دولت و نهادهای رسانهای اروپایی نسبت داد.
این آسیبپذیری بر جدیدترین نسخه Zimbra که نسخه 8.8.15 است تأثیر می گذارد.
در مجموع 74 آدرس ایمیل منحصربهفرد outlook.com توسط مهاجم برای ارسال پیامها در مدت دو هفته ایجاد شد، که در میان آنها پیامهایی با موضوعات کلی از دعوتنامهها تا حراجهای خیریه تا بازپرداخت بلیتهای هواپیمایی بود.
استیون آدایر و توماس لنکستر گفتند: برای موفقیتآمیز بودن حمله، هدف باید در حالی که از طریق یک مرورگر به سرویس گیرنده ایمیل زیمبرا وارد شده است، از لینک مهاجم بازدید کند.
در صورت استفاده از این نقص، مهاجم میتواند برای استخراج کوکیها برای دسترسی دائمی به صندوق پستی، ارسال پیامهای فیشینگ از حساب ایمیل آسیبپذیر برای گسترش آلودگی و حتی تسهیل دانلود بدافزارهای دیگر مورد استفاده قرار دهد.
به گفته محققان هیچ یک از زیرساختهای شناسایی دقیقاً با زیرساختهای مورد استفاده توسط گروههای طبقهبندی شده قبلی مطابقت ندارد. به احتمال زیاد این حملات توسط یک گروه چینی APT انجام شده است.
این شرکت توصیه میکند که کاربران زیمبرا خود را به نسخه 9.0.0 ارتقاء دهند، زیرا در حال حاضر نسخه 8.8.15 ایمن نیست.