Bilgisayar Korsanları Zimbra ve Roundcube E-posta Sunucularından İstismar Ediyor


Bilgisayar korsanları E-posta Sunucularına Saldırır

Özellikle devlet kurumlarını hedef alan endişe verici bir kimlik avı kampanyası ortaya çıkarıldı. Bu saldırı, Zimbra ve Roundcube e-posta sunucularının güvenlik açıklarından beslenir.

Bu sunucuların güvenliğini sağlamak ve başka ihlalleri önlemek için derhal harekete geçilmesi çok önemlidir. EclecticIQ tarafından yapılan araştırmalar, ilk kampanyaların 2023 yılının Ocak ayına kadar uzandığını ortaya çıkardı.

Bu e-postalar, devlet kurumlarının istenmeyen e-posta önleme filtrelerinden kurtuldu; bu filtreler, tehdit aktörlerinin istenmeyen posta algılamalarını atlatmak için çeşitli kaçırma teknikleri kullandığını belirtiyor.

Ancak, e-posta başlıklarındaki kaynak IP, tehdit aktörünün kimliğini gizlemek için VPN hizmetlerini kullandığını gösteriyor.

Kimlik Avı Kampanyası için Zimbra Bakım Postası

Yaklaşık 12 kimlik avı e-postası analiz edildi ve hiçbirinin gönderici adresi sahte değildi.

Bu, tüm bu e-postaların, spam önleme filtrelerini atlayan meşru, güvenliği ihlal edilmiş devlet e-posta sunucularından geldiği anlamına gelir.

Ayrıca, gönderici adreslerdeki tüm kuruluşlar, e-posta sunucuları olarak Zimbra veya Roundcube kullanıyordu.

Bu kampanyadan etkilenen kuruluşlar ve ülkeler (Kaynak: EclecticIQ)

E-postalar sahte bir Zimbra bakım uyarısı bildirimi bağlamına sahip olsa da, her alıcının dili kendi konuşma diline göre değişti.

Kimlik Avı Tuzağı E-postası (Kaynak: EclecticIQ)

Kurbanlar bu e-postaya kandıklarında, kimlik bilgilerini çalmak için sahte bir Zimbra oturum açma sayfasına yönlendirilirler.

Tehdit aktörleri bu bilgileri çalmak için Google Firebase, Mailchimp, Chilipepper(.)io ve Webflow(.)io gibi yasal web hizmetlerini kullandı.

Sahte Zimbra Giriş Sayfası (Kaynak: EclecticIQ)

Tehdit aktörlerinin RoundCube 1.4.10 ve 1.4.11 sürümlerinde bilinen CVE-2020-35730 ve CVE-2020-12641 güvenlik açıklarından yararlandığı varsayılmaktadır. Ukrayna, bu kimlik avı kampanyaları sırasında hedef alınan ülkelerden biriydi.

EclecticIQ, kimlik bilgilerini çalmak için tehdit aktörleri tarafından kullanılan tüm teknikleri, yöntemleri ve taktikleri ortaya çıkaran eksiksiz bir araştırma raporu yayınladı.

Zimbra kullanıcılarının istismar edilmesini önlemek için en son sürüme (8.8.15) güncellemesi önerilir.



Source link