Sadeliğine rağmen, bir Zimbra Collaboration yazılım paketinin müşterilerini hedef alan kimlik avı kampanyası, bir düzineden fazla ülkede yüzlerce kuruluşa yayıldı.
Zimbra, bir e-posta sunucusu ve Web istemcisi içeren ortak çalışmaya dayalı bir yazılım paketidir. tarafından takip edilen kullanıcı rakamlarına göre, pazarın küçük bir kısmına sahip olan geleneksel kurumsal e-posta çözümlerine niş bir alternatiftir. Enlyft Ve 6 duyu.
Zimbra, aşağıdakiler de dahil olmak üzere tüm yıl boyunca güvenlik olaylarıyla kuşatıldı: uzaktan kod yürütme hatası, sıfır gün siteler arası komut dosyası çalıştırmaVe Kuzey Kore ulusu tarafından bir bilgi çalma kampanyası.
ESET’teki araştırmacılara göre, Nisan 2023’ten bu yana, kimliği belirsiz bir tehdit aktörü, ayrıcalıklı Zimbra hesaplarının kimlik bilgilerini ele geçirmek için dağınık kimlik avı e-postaları kullanıyor. Bazı devlet kuruluşları da kampanyaya dahil olsa da, birincil hedefler küçük ve orta ölçekli işletmeler (açık çekirdekli yazılımın birincil müşteri tabanı) olmuştur.
ESET’in kıdemli kötü amaçlı yazılım araştırmacısı Anton Cherepanov, “Yüzlerce farklı kuruluş bu kampanya tarafından hedef alındı” diyor. Bununla birlikte, “hasarın boyutunu söylemek zor” çünkü saldırıların çoğu, ele geçirilmeden önce ortadan kaldırıldı.
Kimlik Avı Zimbra Kullanıcıları
Her saldırı aynı şekilde başlar – Zimbra’nın kendisinden geldiği iddia edilen, örneğin bir sunucu güncellemesi veya hesabın devre dışı bırakılması hakkında bir tür acil mesaj ileten genel bir kimlik avı e-postası. Örneğin aşağıdaki “Zimbra Security Service’ten önemli bilgiler” başlıklı not:
Bugünden itibaren 3/7/2023 Zimbra web istemcisi oturum açma sayfanız değişecek. Bir e-posta güncellemesi için hazırlanıyoruz. Ancak, e-posta hesabınızın devre dışı bırakılmasını ve erişim kaybı yaşamasını önlemek için ekin indirilmesini önizleyin.
E-posta, “Zimbra Boss — Yönetim” olarak imzalanmıştır.
Ekte, kullanıcıyı, belirli hedef kuruluş için özelleştirilmiş bazı tanımlayıcı öğeler içeren genel bir Zimbra oturum açma sayfasına yönlendiren bir HTML dosyası bulunmaktadır. Sayfa, yerel bir dosya yolu olmasına rağmen kullanıcının tarayıcısında açılır ve meşru bir Zimbra oturum açma sayfası izlenimi vermek için kullanıcı adı alanını önceden doldurur.
Müşteriler Üzerindeki Etki
Elbette, sahte giriş sayfasına şifresini giren herhangi bir kullanıcı, hassas bilgileri doğrudan saldırganlara gönderecektir.
Cherepanov, “En kötü sonuç, saldırganların Zimbra Yöneticisinin ayrıcalıklarını ve ardından potansiyel olarak sunucunun kendisinde root ayrıcalıklarını elde edebilmesidir. Ancak bu, olası parola yeniden kullanımı, kullanılan yapılandırma vb. gibi birçok faktöre bağlıdır” diyor.
Bu kampanyadan en çok etkilenen ülke Polonya, ardından Ekvator ve İtalya geliyor. Saldırılar Meksika, Kazakistan ve Hollanda’ya kadar uzanıyor. Hedefler, Zimbra kullanımları dışında ortak hiçbir şeye sahip değiller.
Çerepanov, ödün vermemek için standart güvenlik hijyeni öneriyor: güçlü parolalar kullanmak, çok faktörlü kimlik doğrulama ve Zimbra’nın en son sürümüne güncelleme.