Name: اکانت آنتی فیلتر
Address: UA
Price range: 1-6

روز صفر زیمبرا 200000 سازمان و دولت اتحادیه اروپا را تهدید می کند

گزارش جدید دیروز که توسط اطلاعات تهدید Veloxity منتشر شد، اطلاعاتی را درباره یک کمپین جنایی سایبری در مقیاس بزرگ فاش کرد. این گزارش با عنوان "عملیات EmailThief: بهره برداری فعال از آسیب پذیری XSS روز صفر در زیمبرا" به جزئیات گسترده ای در مورد یک عملیات جرایم سایبری پرخطر در حال انجام است. این عملیات به طور بالقوه می‌تواند 200000 سازمان و مؤسسه حیاتی را در معرض خطر سازش سایبری قرار دهد.

این آسیب‌پذیری از یک پلت فرم ایمیل معروف به Zimbra ناشی می‌شود که توسط کسب‌وکارها و مؤسسات متعددی از جمله نهادهای مالی و دولت اروپا استفاده می‌شود. Zimbra یک پلت فرم سرور ایمیل منبع باز شبیه به Microsoft Exchange است.

عملیات یک کمپین Spear-Phishing است

شکل جرایم سایبری در این مورد، فیشینگ نیزه ای از طریق ایمیل است. این کمپین "در امواج متعدد در دو مرحله حمله قرار گرفت" که شامل یک مرحله شناسایی اولیه و یک مرحله محموله (خرابکاری) بود. بارگذاری شده با بدافزار برای کاربرانی که در مرحله اول فعال بودن آنها تأیید شد.

حمله چگونه کار می‌کند

برای اینکه این طرح کار کند، قربانی باید روی یک پیوند مخرب در ایمیل کلیک کند در حالی که به طور همزمان به سرویس‌های ایمیل زیمبرا وارد می‌شود. . پس از نفوذ به انتقال قربانی، مهاجم می‌تواند «جاوا اسکریپت دلخواه را در زمینه جلسه Zimbra کاربر اجرا کند.»

بنابراین، پس از کلیک روی پیوند، قربانی را به یک URL سوءاستفاده‌کننده هدایت می‌کند که با محتوای مخرب بارگذاری شده است. جاوا اسکریپت. اکنون، یک حساب کاربری در معرض خطر را می توان از داده های ایمیل و همه پیوست های موجود در آن حذف کرد. علاوه بر این، یک مهاجم می‌تواند کلاهبرداری‌های فیشینگ تکمیلی را از حسابی که به‌طور دائم تحت کنترل آن‌ها است، منتشر کند.

Veloxity همچنین تأیید کرد که عامل تهدید از یک نقص XSS (اسکریپت‌نویسی متقابل) در پلتفرم ایمیل Zimbra استفاده می‌کند. نقص های XSS توسط متخصصان امنیت اطلاعات تهدیدهای مهمی در نظر گرفته می شوند.

Zero-Day تایید شد

این نقص امنیتی خاص XSS تایید شده است که یک سوء استفاده روز صفر است، به این معنی که مجرمان سایبری بلافاصله قبل از توسعه دهندگان از این نقص سوء استفاده کرده اند. فرصتی برای وارد کردن یک اصلاح Zero-days رویدادهایی هستند که متخصصان امنیت فناوری اطلاعات از آنها وحشت دارند و در حادثه اخیر Log4Shell مشهود است. محققان تهدید در Veloxity نوشتند، در هر مدت زمانی، مهاجم می تواند محتویات صندوق پستی آنها را بدزدد. پرس) و پراکسی توسط مهاجم استفاده شد. تم های دیگر شامل دعوت به حراج های خیریه میزبانی شده توسط ساتبیز و همچنین خطوط هوایی و تم های مرتبط با آمازون بود. . آدرس ها اغلب به صورت فرمت شده بودند. _@outlook.com، یا @outlook.com.

عامل تهدید به احتمال زیاد یک APT چینی است

عامل تهدید خاص پشت این مورد، TE است. عامل تهدید چینی APT توسط Veloxity از 14 دسامبر 2021 ردیابی شده است. محققان دریافتند که مهرهای زمانی ایمیل، اطلاعات منطقه زمانی، و قطعه "آسیا/هنگ_کنگ" در کد همگی با منشاء مشکوک مهاجم مرتبط هستند.

وضعیت حل نشده است.

گزارش Veloxity تأکید می‌کند که هنوز هیچ راه‌حلی در دسترس نیست و نسخه‌های 8.8.15 P29 و P30 Zimbra هنوز آسیب‌پذیر هستند. به ویژه، دولت و رسانه های اروپایی مورد هدف قرار گرفته اند. همه این نهادها در معرض خطر سرقت داده‌های ایمیل، حملات بدافزار و تصاحب حساب‌ها هستند.

با این حال، این سناریو بدترین سناریویی نیست که Veloxity دیده است، با این حال «هنوز می‌تواند عواقب فاجعه‌باری برای سازمان‌هایی داشته باشد که در این منطقه قرار دارند.

توصیه‌های امنیتی Volexity

در حال حاضر، Veloxity توصیه می‌کند که کاربران شاخص‌های موجود در اینجا را در سطح دروازه و شبکه ایمیل مسدود کنند. ثانیا، کاربران زیمبرا باید داده‌های ارجاع‌دهنده تاریخی مشکوک را که می‌توانند در مکان «/opt/zimbra/log/access*.log» پیدا کنند، تجزیه و تحلیل کنند. کاربران Zimbra همچنین باید به Zimbra 9.0.0 ارتقاء دهند و از نسخه 8.8.15 اجتناب کنند.

در نهایت، Veloxity پیشنهاد می‌کند که سازمان‌ها می‌توانند برای کمک در اینجا با آنها تماس بگیرند.

روز صفر زیمبرا 200000 سازمان و دولت اتحادیه اروپا را تهدید می کند ⋆