Хакеры шпионят за пользователями Zimbra через уязвимость 0-day

Хакеры шпионят за пользователями Zimbra через уязвимость 0-day

За атаками может стоять группировка TEMP_HERETIC, чьей целью являются правительственные и медийные организации в Европе.

Киберпреступники, предположительно связанные с Китаем, активно атакуют пользователей платформы электронной почты с открытым исходным кодом Zimbra через уязвимость нулевого дня в рамках кампаний целенаправленного фишинга, начавшихся в декабре прошлого года.

Шпионская операция, получившая кодовое название EmailThief, подробно описана в отчете ИБ-компании Volexity, опубликованном в четверг, 3 февраля. Согласно отчету, уязвимость межсайтового скриптинга (XSS) позволяет выполнить произвольный JavaScript-код в контексте пользовательского сеанса на платформе Zimbra. Проблема затрагивает последнюю версию Zimbra 8.8.15

Исследователи отнесли атаки на счет ранее неизвестной хакерской группировки TEMP_HERETIC, чьей целью являются правительственные и медийные организации в Европе.

Атаки проходят в два этапа. На первом этапе злоумышленники проводят разведку и рассылают электронные письма с целью проверить, получает ли жертва и открывает ли сообщения. На втором этапе рассылается большое количество писем, в которых получателей обманом вынуждают нажать на вредоносную ссылку.

Для того чтобы атака прошла успешно, жертва должна зайти на вредоносный сайт по ссылке, будучи авторизованной в web-клиенте Zimbra в браузере. Однако сама ссылка может запускаться из толстого клиента, например, Thunderbird или Outlook.

Неисправленная уязвимость может использоваться для извлечения файлов cookie, что позволит злоумышленникам получить постоянный доступ к почтовому ящику и отправлять фишинговые письма со взломанных учетных записей.

Пользователям Zimbra рекомендуется обновить платформу до версии 9.0.0, поскольку версия 8.8.15 является уязвимой.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!