-
06/07/2013
-
797
-
1.304 bài viết
Tin tặc khai thác lỗ hổng 0-day trong nền tảng email Zimbra
Một kẻ tấn công, có thể là người Trung Quốc, đang tích cực khai thác lỗ hổng 0-day trong nền tảng email mã nguồn mở Zimbra như một phần của các chiến dịch spear-phishing bắt đầu từ tháng 12 năm 2021.
Hoạt động gián điệp có tên "EmailThief" - được công ty an ninh mạng Volexity công bố trong một báo cáo kỹ thuật ngày 03/02/2022. Việc khai thác thành công lỗ hổng cross-site scripting (XSS) có thể dẫn đến việc thực thi mã JavaScript tùy ý.
Volexity cho rằng các cuộc tấn công, bắt đầu vào ngày 14/12/2021 do một nhóm tin tặc chưa từng được biết đến và đang được theo dõi dưới bí danh TEMP_HERETIC, nhằm vào các tổ chức truyền thông và chính phủ châu Âu. Lỗ hổng ảnh hưởng đến phiên bản Zimbra 8.8.15.
Các cuộc tấn công được cho là xảy ra trong 2 giai đoạn: Giai đoạn đầu tiên các email với chủ đề như cảnh báo, hoàn tiền vé máy bay, mời đấu giá từ thiện được phát tán với mục tiêu chính là để nạn nhân xem hoặc mở email. Trong giai đoạn tiếp theo, nhiều email đã được gửi đi để lừa người nhận nhấp vào một liên kết độc hại. Tổng cộng, 74 địa chỉ email outlook.com khác nhau đã được kẻ tấn công sử dụng.
"Để thực hiện cuộc tấn công, nạn nhân sẽ phải truy cập liên kết của tin tặc khi đã đăng nhập vào ứng dụng email trực tuyến Zimbra từ trình duyệt web. Tuy nhiên, bản thân liên kết có thể được khởi chạy từ các ứng dụng như Thunderbird hoặc Outlook." - Steven Adair và Thomas Lancaster lưu ý.
Lỗ hổng chưa được vá và có thể bị lợi dụng để đánh cắp cookie nhằm chiếm quyền truy cập email, gửi thư lừa đảo từ tài khoản email nạn nhân để mở rộng ảnh hưởng, thậm chí là đưa ra thông báo dẫn dụ nạn nhân tải mã độc.
Các nhà nghiên cứu cho biết: "Không có cơ sở hạ tầng nào được xác định khớp với cơ sở hạ tầng được sử dụng bởi các nhóm tin tặc đã được phân loại trước đây. Tuy nhiên, dựa trên tổ chức bị nhắm mục tiêu và các cá nhân cụ thể của tổ chức bị nhắm mục tiêu, và do dữ liệu bị đánh cắp không có giá trị tài chính, nên có khả năng các cuộc tấn công đã được thực hiện bởi một nhóm tin tặc APT của Trung Quốc".
Do hiện tại vẫn chưa có bản vá cho phiên bản 8.8.15, người dùng hoặc các tổ chức nên xem xét nâng cấp lên phiên bản 9.0.0.
Hoạt động gián điệp có tên "EmailThief" - được công ty an ninh mạng Volexity công bố trong một báo cáo kỹ thuật ngày 03/02/2022. Việc khai thác thành công lỗ hổng cross-site scripting (XSS) có thể dẫn đến việc thực thi mã JavaScript tùy ý.
Volexity cho rằng các cuộc tấn công, bắt đầu vào ngày 14/12/2021 do một nhóm tin tặc chưa từng được biết đến và đang được theo dõi dưới bí danh TEMP_HERETIC, nhằm vào các tổ chức truyền thông và chính phủ châu Âu. Lỗ hổng ảnh hưởng đến phiên bản Zimbra 8.8.15.
Các cuộc tấn công được cho là xảy ra trong 2 giai đoạn: Giai đoạn đầu tiên các email với chủ đề như cảnh báo, hoàn tiền vé máy bay, mời đấu giá từ thiện được phát tán với mục tiêu chính là để nạn nhân xem hoặc mở email. Trong giai đoạn tiếp theo, nhiều email đã được gửi đi để lừa người nhận nhấp vào một liên kết độc hại. Tổng cộng, 74 địa chỉ email outlook.com khác nhau đã được kẻ tấn công sử dụng.
"Để thực hiện cuộc tấn công, nạn nhân sẽ phải truy cập liên kết của tin tặc khi đã đăng nhập vào ứng dụng email trực tuyến Zimbra từ trình duyệt web. Tuy nhiên, bản thân liên kết có thể được khởi chạy từ các ứng dụng như Thunderbird hoặc Outlook." - Steven Adair và Thomas Lancaster lưu ý.
Lỗ hổng chưa được vá và có thể bị lợi dụng để đánh cắp cookie nhằm chiếm quyền truy cập email, gửi thư lừa đảo từ tài khoản email nạn nhân để mở rộng ảnh hưởng, thậm chí là đưa ra thông báo dẫn dụ nạn nhân tải mã độc.
Các nhà nghiên cứu cho biết: "Không có cơ sở hạ tầng nào được xác định khớp với cơ sở hạ tầng được sử dụng bởi các nhóm tin tặc đã được phân loại trước đây. Tuy nhiên, dựa trên tổ chức bị nhắm mục tiêu và các cá nhân cụ thể của tổ chức bị nhắm mục tiêu, và do dữ liệu bị đánh cắp không có giá trị tài chính, nên có khả năng các cuộc tấn công đã được thực hiện bởi một nhóm tin tặc APT của Trung Quốc".
Do hiện tại vẫn chưa có bản vá cho phiên bản 8.8.15, người dùng hoặc các tổ chức nên xem xét nâng cấp lên phiên bản 9.0.0.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: