Nisan 2023’ten bu yana devam eden bir dolandırıcılık kampanyası, dünya genelindeki Zimbra İşbirliği e-posta sunucularının kimlik bilgilerini çalmaya yönelik girişimleri içermektevdir.
ESET’in raporuna göre, dolandırıcı e-postalar özellikle belirli kuruluşlara veya sektörlere odaklanmadan dünya genelindeki organizasyonlara gönderilmektedir. Bu operasyonun arkasındaki tehdit aktörü şu anda bilinmemektedir.
ESET araştırmacılarına göre, saldırılar, kullanıcılara bsunucusu güncellemesinden haberdar eden bir kuruluş yöneticisini taklit eden bir dolandırıcı e-posta gönderilerek başlar.
Alıcıya, sunucu güncellemesi hakkında daha fazla bilgi edinmek ve hesapların devre dışı bırakılmasını önleme talimatlarını gözden geçirmek için ekli bir HTML dosyasını açması istenir.
HTML ekini açtığında, sahte bir Zimbra giriş sayfası gösterilir ve bu sayfa hedeflenen şirketin logosunu ve markasını taşıyarak hedeflere otantik görünmeye çalışır.
Ayrıca, giriş formundaki kullanıcı adı alanı önceden doldurulmuş olur, bu da sahte sayfaya daha fazla güvenilirlik kazandırır.Dolandırıcılık formuna girilen hesap parolaları, tehdit aktörünün sunucusuna HTTPS POST isteği aracılığıyla gönderilir.
ESET’e göre, bazı durumlarda saldırganlar, diğer organizasyon üyelerine dolandırıcılık e-postaları yayınlamak için kullanılan yeni posta kutuları oluşturmak için kompromize edilmiş yönetici hesaplarını kullanırlar.
Analistler, bu kampanyanın yetersiz sofistike olmasına rağmen, yayılma ve başarısının etkileyici olduğunu vurguluyor ve Zimbra kullanıcılarının tehdit hakkında bilgi sahibi olmaları gerektiğini belirtiyor.
Zimbra sunucuları hedefte
Siber casusluk amacıyla hackerlar sıkça Zimbra e-posta sunucularını hedef alır, böylece dahili iletişimleri toplayabilir veya hedef organizasyonun ağına yayılmak için başlangıç noktası olarak kullanabilirler.
Bu yılın başlarında Proofpoint, Rus ‘Winter Vivern’ hacker grubunun bir Zimbra hatasını (CVE-2022-27926) sömürdüğünü ve NATO’ya bağlı organizasyonların, hükümetlerin, diplomatların ve askeri personelin web posta portalına erişim sağladığını açıkladı.
Geçen yıl Volexity, ‘TEMP_Heretic’ adlı bir tehdit aktörünün, Zimbra İşbirliği ürünündeki o dönemde sıfır gün açığı (CVE-2022-23682) kullanarak posta kutularına eriştiğini ve yanal dolandırıcılık saldırıları gerçekleştirdiğini bildirdi.
ESET, “Daha düşük IT bütçesine sahip olması beklenen organizasyonlar arasında Zimbra İşbirliği’nin popülaritesi, onu saldırganlar için çekici bir hedef haline getiriyor,” şeklinde sonuçlandırıyor.
kaynak: BleepingComputer