ESET araştırmacıları, Zimbra hesabı kullanıcılarının kimlik bilgilerini toplamayı amaçlayan, kitlesel yayılan bir kimlik avı kampanyasını ortaya çıkardı.
Zimbra Collaboration, kurumsal e-posta çözümlerine popüler bir alternatif olan açık çekirdekli, işbirliğine dayalı bir yazılım platformudur.
Zimbra kimlik avı kampanyası hakkında
Kampanya en az Nisan 2023’ten beri aktif ve halen devam ediyor. Çeşitli küçük ve orta ölçekli işletmeleri ve devlet kurumlarını hedefler.
ESET telemetrisine göre, en fazla sayıda hedef Polonya’da bulunuyor; ancak Ukrayna, İtalya, Fransa ve Hollanda gibi diğer Avrupa ülkelerindeki mağdurlar da hedef alınmaktadır. Latin Amerika ülkeleri de vuruldu; Ekvador, bu bölgedeki tespit listesinin başında yer alıyor.
Bu kampanya, teknik olarak çok gelişmiş olmamasına rağmen, Zimbra İşbirliğini kullanan organizasyonları yaygınlaştırabilir ve başarılı bir şekilde tehlikeye atabilir.
“Düşmanlar, HTML eklerinin yasal kod içerdiği gerçeğinden yararlanır ve tek belirleyici öğe, kötü niyetli ana bilgisayarı işaret eden bir bağlantıdır. Kampanyayı keşfeden ESET araştırmacısı Viktor Šperka, bu şekilde, özellikle kötü niyetli bir bağlantının doğrudan e-posta gövdesine yerleştirildiği daha yaygın kimlik avı teknikleriyle karşılaştırıldığında, itibara dayalı antispam politikalarını atlatmak çok daha kolay” diye açıklıyor.
“Hedef kuruluşlar değişiklik gösterir; düşmanlar belirli bir dikeye odaklanmıyor – kurbanları birbirine bağlayan tek şey Zimbra kullanıyor olmaları,” diye ekliyor Šperka.
Daha düşük BT bütçelerine sahip olması beklenen kuruluşlar arasında Zimbra İşbirliğinin popülaritesi, rakipler için çekici bir hedef olarak kalmasını sağlar.
Saldırı zaman çizelgesi
Başlangıçta hedef, ekli HTML dosyasında bir kimlik avı sayfası bulunan bir e-posta alır. E-posta, hedefi bir e-posta sunucusu güncellemesi, hesabın devre dışı bırakılması veya benzer bir sorun hakkında uyarır ve kullanıcıyı ekli dosyayı tıklamaya yönlendirir.
Eki açtıktan sonra, kullanıcıya hedeflenen organizasyona göre özelleştirilmiş sahte bir Zimbra giriş sayfası sunulur. Arka planda, gönderilen kimlik bilgileri HTML formundan toplanır ve düşman tarafından kontrol edilen bir sunucuya gönderilir. Ardından, saldırgan potansiyel olarak etkilenen e-posta hesabına sızabilir.
Sahte Zimbra giriş sayfası. (Kaynak: ESET)
Saldırganların, kurbanın yönetici hesaplarının güvenliğini aşması ve daha sonra diğer hedeflere kimlik avı e-postaları göndermek için kullanılan yeni posta kutuları oluşturması muhtemeldir. ESET tarafından gözlemlenen kampanya, yalnızca sosyal mühendislik ve kullanıcı etkileşimine dayanmaktadır; ancak bu her zaman böyle olmayabilir.