Falha do Zimbra é usada para roubar e-mails da OTAN

Segundo o Sentinel Labs, uma falha do Zimbra é usada para roubar e-mails da OTAN, usada especificamente por um grupo de hackers russos.

Sim. Um grupo de hackers russos rastreado como TA473, também conhecido como ‘Winter Vivern’, tem explorado ativamente vulnerabilidades em terminais Zimbra não corrigidos desde fevereiro de 2023 para roubar os e-mails de oficiais da OTAN, governos, militares e diplomatas.

Falha do Zimbra é usada para roubar e-mails da OTAN

Falha do Zimbra é usada para roubar e-mails da OTAN

Duas semanas atrás, o Sentinel Labs informou sobre uma operação recente do ‘Winter Vivern’ usando sites que imitam agências europeias que combatem o cibercrime para espalhar malware que finge ser um scanner de vírus.

Agora, a Proofpoint publicou um novo relatório sobre como o agente da ameaça explora o CVE-2022-27926 nos servidores Zimbra Collaboration para acessar as comunicações de organizações e pessoas alinhadas à OTAN.

Os ataques do Winter Vivern começam com a varredura do agente da ameaça em busca de plataformas de webmail não corrigidas usando o scanner de vulnerabilidade da ferramenta Acunetix.

Em seguida, os hackers enviam um e-mail de phishing de um endereço comprometido, que é falsificado para parecer alguém familiar ao alvo ou de alguma forma relevante para sua organização.

Falha do Zimbra é usada para roubar e-mails da OTAN – E-mail enviado por Winter Vivern (Proofpoint)

Os e-mails contêm um link que explora o CVE-2022-27926 na infraestrutura Zimbra comprometida do alvo para injetar outras cargas de JavaScript na página da web.

Essas cargas úteis são então usadas para roubar nomes de usuários, senhas e tokens de cookies recebidos do terminal Zimbra comprometido. Essas informações permitem que os agentes de ameaças acessem as contas de e-mail dos alvos livremente.

Falha do Zimbra é usada para roubar e-mails da OTAN – Cadeia de ataque completa (Proofpoint)

“Esses blocos de código JavaScript CSRF são executados pelo servidor que hospeda uma instância de webmail vulnerável”, explica Proofpoint no relatório

“Além disso, esse JavaScript replica e depende da emulação do JavaScript do portal de webmail nativo para retornar os principais detalhes da solicitação da web que indicam o nome de usuário, a senha e o token CSRF dos alvos.”

“Em alguns casos, os pesquisadores observaram TA473 visando especificamente tokens de solicitação de webmail RoundCube também.”

Esse detalhe demonstra a diligência dos agentes de ameaças no reconhecimento pré-ataque, descobrindo qual portal seu alvo usa antes de criar os e-mails de phishing e definir a função da página de destino.

Além das três camadas de ofuscação de base64 aplicadas no JavaScript malicioso para tornar a análise mais complicada, ‘Winter Vivern’ também incluiu partes do JavaScript legítimo que é executado em um portal de webmail nativo, combinando com operações normais e diminuindo a probabilidade de detecção.

Falha do Zimbra é usada para roubar e-mails da OTAN – JavaScript ofuscado (Proofpoint)

Por fim, os agentes de ameaças podem acessar informações confidenciais nos webmails comprometidos ou manter seu controle para monitorar as comunicações por um período de tempo.

Além disso, os hackers podem usar as contas violadas para realizar ataques laterais de phishing e aumentar sua infiltração nas organizações-alvo.

Apesar dos pesquisadores afirmarem que o ‘Winter Vivern’ não é particularmente sofisticado, eles seguem uma abordagem operacional eficaz que funciona mesmo contra alvos de alto perfil que não conseguem aplicar patches de software com rapidez suficiente.

Nesse caso, o CVE-2022-27926 foi corrigido no Zimbra Collaboration 9.0.0 P24, lançado em abril de 2022.

Considerando que os primeiros ataques foram observados em fevereiro de 2023, o atraso na aplicação da atualização de segurança é medido em pelo menos dez meses.

Deixe um comentário

Sair da versão mobile