Der Bedrohungsanalysegruppe von Google haben eine Sicherheitslücke in einem E-Mail-Server identifiziert und behoben, der zum Diebstahl von Daten von den Regierungen von verwendet wurde PakistanGriechenland, MoldawienTunesien und Vietnam.
Dieses Sicherheitsproblem mit der Bezeichnung CVE-2023-37580 betraf speziell das ZimbraKollaborativer E-Mail-Server zum Extrahieren von E-Mail-Daten, Benutzeranmeldeinformationen und Authentifizierungstokens von verschiedenen Organisationen. Der Angriff begann Ende Juni in Griechenland. Die Täter des Angriffs entdeckten eine Sicherheitslücke und schickten E-Mails mit dem Exploit an eine Regierungsorganisation. Wenn der Empfänger auf den Link klickte, während er in seinem Zimbra-Konto angemeldet war, stahl der Exploit automatisch seine E-Mail-Daten und richtete eine automatische Weiterleitung ein, um die Kontrolle über die Adresse zu übernehmen.
Der Wintervivern Die Bedrohungsgruppe hatte Zugriff auf den Exploit erhalten. Die Gruppe nahm Regierungsorganisationen in Moldawien und Tunesien ins Visier. Später nutzte ein dritter unbekannter Akteur den Exploit, um Anmeldeinformationen von Mitgliedern der vietnamesischen Regierung zu erbeuten. Diese Daten wurden auf einer offiziellen Regierungsdomäne veröffentlicht, die wahrscheinlich von den Angreifern betrieben wird.
Die letzte von der Threat Analysis Group von Google beschriebene Kampagne richtete sich gegen eine Regierungsorganisation in Pakistan, um Zimbra-Authentifizierungstoken zu stehlen, eine sichere Information, die für den Zugriff auf gesperrte oder geschützte Informationen verwendet wird. Zimbra-Benutzer waren Anfang des Jahres auch das Ziel einer Massen-Phishing-Kampagne.
Forscher von ESET fanden heraus, dass ein unbekannter Bedrohungsakteur ab April eine E-Mail mit einem Phishing-Link in einer HTML-Datei verschickte. Zuvor, im Jahr 2022, nutzten Bedrohungsakteure einen anderen Zimbra-Exploit, um E-Mails von europäischen Regierungs- und Medienorganisationen zu stehlen.
Laut einem Blogbeitrag des Google Threat Analysis GroupDiese Kampagnen verdeutlichen, wie Angreifer Open-Source-Repositorys überwachen, um Schwachstellen opportunistisch auszunutzen, bei denen sich der Fix im Repository befindet, aber noch nicht für Benutzer freigegeben wurde.
Dieses Sicherheitsproblem mit der Bezeichnung CVE-2023-37580 betraf speziell das ZimbraKollaborativer E-Mail-Server zum Extrahieren von E-Mail-Daten, Benutzeranmeldeinformationen und Authentifizierungstokens von verschiedenen Organisationen. Der Angriff begann Ende Juni in Griechenland. Die Täter des Angriffs entdeckten eine Sicherheitslücke und schickten E-Mails mit dem Exploit an eine Regierungsorganisation. Wenn der Empfänger auf den Link klickte, während er in seinem Zimbra-Konto angemeldet war, stahl der Exploit automatisch seine E-Mail-Daten und richtete eine automatische Weiterleitung ein, um die Kontrolle über die Adresse zu übernehmen.
Der Wintervivern Die Bedrohungsgruppe hatte Zugriff auf den Exploit erhalten. Die Gruppe nahm Regierungsorganisationen in Moldawien und Tunesien ins Visier. Später nutzte ein dritter unbekannter Akteur den Exploit, um Anmeldeinformationen von Mitgliedern der vietnamesischen Regierung zu erbeuten. Diese Daten wurden auf einer offiziellen Regierungsdomäne veröffentlicht, die wahrscheinlich von den Angreifern betrieben wird.
Die letzte von der Threat Analysis Group von Google beschriebene Kampagne richtete sich gegen eine Regierungsorganisation in Pakistan, um Zimbra-Authentifizierungstoken zu stehlen, eine sichere Information, die für den Zugriff auf gesperrte oder geschützte Informationen verwendet wird. Zimbra-Benutzer waren Anfang des Jahres auch das Ziel einer Massen-Phishing-Kampagne.
Forscher von ESET fanden heraus, dass ein unbekannter Bedrohungsakteur ab April eine E-Mail mit einem Phishing-Link in einer HTML-Datei verschickte. Zuvor, im Jahr 2022, nutzten Bedrohungsakteure einen anderen Zimbra-Exploit, um E-Mails von europäischen Regierungs- und Medienorganisationen zu stehlen.
Laut einem Blogbeitrag des Google Threat Analysis GroupDiese Kampagnen verdeutlichen, wie Angreifer Open-Source-Repositorys überwachen, um Schwachstellen opportunistisch auszunutzen, bei denen sich der Fix im Repository befindet, aber noch nicht für Benutzer freigegeben wurde.