Yeni bir “kitlesel yayılan” sosyal mühendislik kampanyası, Zimbra Collaboration e-posta sunucusunun kullanıcılarını, sonraki işlemlerde kullanılmak üzere oturum açma kimlik bilgilerini toplamak amacıyla hedefliyor.
Nisan 2023’ten beri aktif olan ve halen devam eden faaliyet, çoğu Polonya, Ekvador, Meksika, İtalya ve Rusya’da bulunan çok çeşitli küçük ve orta ölçekli işletmeleri ve devlet kuruluşlarını hedefliyor. Bilinen herhangi bir tehdit aktörü veya grubuna atfedilmemiştir.
ESET araştırmacısı Viktor Šperka bir raporda, “Başlangıçta hedef, ekli HTML dosyasında bir kimlik avı sayfası içeren bir e-posta alır” dedi. “E-posta, hedefi bir e-posta sunucusu güncellemesi, hesabın devre dışı bırakılması veya benzer bir sorun hakkında uyarır ve kullanıcıyı ekli dosyayı tıklamaya yönlendirir.”
Mesajlar aynı zamanda alıcıları eki açmaya ikna etmek amacıyla bir Zimbra yöneticisinden geliyormuş gibi görünmek için gelen adresini taklit eder.
HTML dosyası, daha gerçekçi görünmesi için kurbanın e-posta adresiyle önceden doldurulmuş Kullanıcı Adı alanı ile hedeflenen kuruluşa göre uyarlanmış bir Zimbra oturum açma sayfası içerir. Kimlik bilgileri girildikten sonra, HTML formundan toplanır ve bir HTTPS POST isteği aracılığıyla aktör tarafından kontrol edilen bir sunucuya gönderilir.
Saldırıları öne çıkaran şey, daha fazla yayılma yetenekleridir. Sonraki kimlik avı dalgaları, daha önce hedef alınan meşru şirketlerin hesaplarından yararlandı ve bu kurbanlarla ilişkili sızan yönetici hesaplarının, diğer ilgili kuruluşlara e-posta göndermek için kullanıldığını düşündürdü.
Šperka, “Açıklamalardan biri, saldırganın kimlik avı yoluyla hedeflenen yönetici tarafından parolanın yeniden kullanılmasına, yani hem e-posta hem de yönetim için aynı kimlik bilgilerini kullanmasına bağlı olmasıdır.”
Kampanya teknik olarak karmaşık olmasa da, kaynak koduna gömülü “HTML eklerinin meşru kod içerdiğini ve tek gösterge unsurunun kötü niyetli ana bilgisayarı işaret eden bir bağlantı olduğu” gerçeğine güvenir.
Šperka, “Bu şekilde, kötü amaçlı bir bağlantının doğrudan e-posta gövdesine yerleştirildiği kimlik avı teknikleriyle karşılaştırıldığında, itibara dayalı istenmeyen posta önleme politikalarını atlatmak çok daha kolaydır” dedi.