Η Ομάδα Ανάλυσης Απειλών της Google αποκάλυψε την Πέμπτη ότι ανακάλυψε και εργάστηκε για να βοηθήσει στην επιδιόρθωση ενός ελαττώματος διακομιστή email που χρησιμοποιείται για την κλοπή δεδομένων από κυβερνήσεις στην Ελλάδα, τη Μολδαβία, την Τυνησία, το Βιετνάμ και το Πακιστάν.
Το exploit, γνωστό ως CVE-2023-37580, στόχευε τον διακομιστή email Zimbra Collaboration για να κλέψει δεδομένα email, διαπιστευτήρια χρήστη και διακριτικά ελέγχου ταυτότητας από οργανισμούς.
Ξεκίνησε στην Ελλάδα στα τέλη Ιουνίου. Χάκερ που ανακάλυψαν την ευπάθεια, έστειλαν email σε κυβερνητικό οργανισμό που περιείχε το exploit. Εάν κάποιος έκανε κλικ στον σύνδεσμο ενώ ήταν συνδεδεμένος στον λογαριασμό του στο Zimbra, έκλεβε αυτόματα δεδομένα email και ρυθμίζει την αυτόματη προώθηση για να πάρει τον έλεγχο της διεύθυνσης.
Ενώ η Zimbra δημοσίευσε μια επείγουσα επιδιόρθωση στην πλατφόρμα ανοιχτού κώδικα Github στις 5 Ιουλίου, το μεγαλύτερο μέρος της δραστηριότητας ανάπτυξης του exploit έγινε αργότερα. Αυτό σημαίνει ότι οι στόχοι δεν έφτασαν στην ενημέρωση του λογισμικού με την επιδιόρθωση μέχρι όταν ήταν πολύ αργά. Είναι μια καλή υπενθύμιση να ενημερώσετε τις συσκευές το συντομότερο δυνατό καθώς γίνονται διαθέσιμες περισσότερες ενημερώσεις.
“Αυτές οι καμπάνιες υπογραμμίζουν επίσης τον τρόπο με τον οποίο οι εισβολείς παρακολουθούν αποθετήρια ανοιχτού κώδικα για να εκμεταλλευτούν ευκαιριακά τα τρωτά σημεία όπου η επιδιόρθωση βρίσκεται στο αποθετήριο, αλλά δεν έχει κυκλοφορήσει ακόμη στους χρήστες”, έγραψε η Ομάδα Ανάλυσης Απειλών Google σε μια ανάρτηση ιστολογίου.
Γύρω στα μέσα Ιουλίου, έγινε σαφές ότι η ομάδα απειλών Winter Vivern στόχευσε κυβερνητικούς οργανισμούς στη Μολδαβία και την Τυνησία. Στη συνέχεια, ένας τρίτος άγνωστος χρησιμοποίησε την εκμετάλλευση για να κάνει phishing για διαπιστευτήρια από μέλη της κυβέρνησης του Βιετνάμ. Αυτά τα δεδομένα δημοσιεύτηκαν σε έναν επίσημο κυβερνητικό τομέα, που πιθανότατα διευθύνεται από τους χάκερ. Η τελική καμπάνια της Ομάδας Ανάλυσης απειλών της Google στόχευε λεπτομερώς σε έναν κυβερνητικό οργανισμό στο Πακιστάν για να κλέψει διακριτικά ελέγχου ταυτότητας Zimbra, ένα ασφαλές τμήμα πληροφοριών που χρησιμοποιείται για πρόσβαση σε κλειδωμένες ή προστατευμένες πληροφορίες.
Οι χρήστες της Zimbra ήταν επίσης στόχος μιας μαζικής εκστρατείας phishing νωρίτερα φέτος. Από τον Απρίλιο, ένας άγνωστος παράγοντας απειλών στέλνει ένα email με έναν σύνδεσμο phishing σε ένα αρχείο HTML, σύμφωνα με ερευνητές της ESET. Πριν από αυτό, το 2022, οι παράγοντες απειλών χρησιμοποίησαν μια διαφορετική εκμετάλλευση της Zimbra για να κλέψουν email από ευρωπαϊκές κυβερνήσεις και οργανισμούς μέσων ενημέρωσης.
Από το 2022, η Zimbra είπε ότι είχε περισσότερους από 200.000 πελάτες, συμπεριλαμβανομένων πάνω από 1.000 κυβερνητικών οργανισμών. “Η δημοτικότητα του Zimbra Collaboration μεταξύ των οργανισμών που αναμένεται να έχουν χαμηλότερους προϋπολογισμούς IT διασφαλίζει ότι παραμένει ελκυστικός στόχος για τους αντιπάλους”, είπαν οι ερευνητές της ESET σχετικά με το γιατί οι επιτιθέμενοι στοχεύουν τη Zimbra.