Un actor de amenazas, probablemente de origen chino, está intentando activamente explotar una vulnerabilidad de día cero en la plataforma de correo electrónico de código abierto Zimbra como parte de las campañas de phishing que comenzaron en diciembre de 2021.
La operación de espionaje, cuyo nombre en código es «Ladrón de correo electrónico«, fue detallado por la compañía de seguridad cibernética Volexity en un informe técnico publicado el jueves, señalando que la explotación exitosa de la vulnerabilidad de secuencias de comandos entre sitios (XSS) podría resultar en la ejecución de código JavaScript arbitrario en el contexto de la sesión de Zimbra del usuario.
Volexity atribuyó las intrusiones, que comenzaron el 14 de diciembre de 2021, a un grupo de piratas informáticos previamente indocumentado que está rastreando bajo el nombre de TEMP_HERETIC, con ataques dirigidos al gobierno europeo y entidades de medios. El error de día cero afecta a la edición de código abierto más reciente de Zimbra en ejecución versión 8.8.15.
Se cree que los ataques ocurrieron en dos fases; la primera etapa tenía como objetivo el reconocimiento y la distribución de correos electrónicos diseñados para controlar si un objetivo recibió y abrió los mensajes. En la etapa posterior, se transmitieron múltiples oleadas de mensajes de correo electrónico para engañar a los destinatarios para que hicieran clic en un enlace malicioso.
«Para que el ataque tenga éxito, el objetivo tendría que visitar el enlace del atacante mientras estaba conectado al cliente de correo web de Zimbra desde un navegador web», señalaron Steven Adair y Thomas Lancaster. «Sin embargo, el enlace en sí podría iniciarse desde una aplicación para incluir un cliente pesado, como Thunderbird o Outlook».
La falla sin parchear, en caso de que se convierta en un arma, podría abusarse para filtrar cookies para permitir el acceso persistente a un buzón, enviar mensajes de phishing desde la cuenta de correo electrónico comprometida para ampliar la infección e incluso facilitar la descarga de malware adicional.
«Ninguno de los infraestructura identificada […] coincide exactamente con la infraestructura utilizada por los grupos de amenazas previamente clasificados”, dijeron los investigadores. un actor chino de APT».
«Los usuarios de Zimbra deberían considerar actualizar a versión 9.0.0ya que actualmente no existe una versión segura de 8.8.15″, agregó la compañía.
