Een dreigingsactor, waarschijnlijk van Chinese oorsprong, probeert actief een zero-day-kwetsbaarheid in het open-source e-mailplatform van Zimbra te exploiteren als onderdeel van spear-phishing-campagnes die in december 2021 zijn begonnen.
De spionageoperatie — codenaam “E-mailDief” – werd gedetailleerd door cyberbeveiligingsbedrijf Volexity in een technisch rapport dat donderdag werd gepubliceerd, en merkte op dat succesvolle exploitatie van de cross-site scripting (XSS)-kwetsbaarheid zou kunnen resulteren in de uitvoering van willekeurige JavaScript-code in de context van de Zimbra-sessie van de gebruiker.
Volexity schreef de inbraken, die op 14 december 2021 begonnen, toe aan een voorheen ongedocumenteerde hackgroep die het volgt onder de naam TEMP_HERETIC, met de aanvallen gericht op de Europese overheid en media-entiteiten. De zero-day-bug heeft invloed op de meest recente open-source-editie van Zimbra die draait versie 8.8.15.
De aanslagen zouden in twee fasen hebben plaatsgevonden; de eerste fase was gericht op verkenning en verspreiding van e-mails die zijn ontworpen om bij te houden of een doelwit de berichten heeft ontvangen en geopend. In de daaropvolgende fase werden meerdere golven van e-mailberichten uitgezonden om de ontvangers te misleiden om op een kwaadaardige link te klikken.
“Om de aanval te laten slagen, moet het doelwit de link van de aanvaller bezoeken terwijl hij is ingelogd op de Zimbra-webmailclient vanuit een webbrowser”, merkten Steven Adair en Thomas Lancaster op. “De link zelf zou echter vanuit een applicatie kunnen worden gestart om een dikke client, zoals Thunderbird of Outlook, op te nemen.”
De niet-gepatchte fout, als deze als wapen zou worden gebruikt, zou kunnen worden misbruikt om cookies te exfiltreren om blijvende toegang tot een mailbox mogelijk te maken, phishing-berichten te verzenden vanaf het gecompromitteerde e-mailaccount om de infectie te vergroten en zelfs het downloaden van aanvullende malware te vergemakkelijken.
“Geen van de infrastructuur geïdentificeerd […] komt exact overeen met de infrastructuur die wordt gebruikt door eerder geclassificeerde bedreigingsgroepen”, aldus de onderzoekers. “Echter, op basis van de beoogde organisatie en specifieke individuen van de beoogde organisatie, en gezien de gestolen gegevens geen financiële waarde zouden hebben, is het waarschijnlijk dat de aanvallen werden uitgevoerd door een Chinese APT-acteur.”
“Gebruikers van Zimbra zouden moeten overwegen om te upgraden naar versie 9.0.0, omdat er momenteel geen beveiligde versie van 8.8.15 is”, voegde het bedrijf eraan toe.
