2022-02-05 15:38:56Специалисты из небольшой американской инфосек компании Volexity обнаружили далеко не маленькую угрозу информационной безопасности, да не а бы кого, а новую китайскую APT, которая посягнула на конфиденциальность представителей Европейского правительства.
Специалистами установлено, что мишенью китайских хакеров являлись корпоративные электронные адреса веб-почты Zimbra, где использовалась 0-day уязвимость нулевого дня, для получения доступа к почтовым ящикам правительственных организаций европейских государств и медиа-агентств.
Атаки были обнаружены еще в прошлом месяце с соответствующим уведомлением Zimbra. Однако компания до сих пор не выпустила патч для своего продукта. Кроме того, Volexity выпустила технический отчет об инцидентах в надежде привлечь внимание к этой проблеме и позволить организациям, использующим почтовый сервер Zimbra, проверить, не стали ли они жертвами атак.
По данным Volexity, злоумышленники начали использовать этот 0-day c 14 декабря 2021, когда были обнаружены первоначальные атаки на некоторых из клиентов. Специалисты отметили, что атаки были разделены на два этапа. В первом случае хакеры отправляли безобидное электронное письмо, предназначенное для проведения разведки и определения того, активны ли учетные записи и открывают ли пользователи странные электронные письма от неизвестных адресов.
Фактическая атака происходила во втором электронном письме, когда хакеры включали ссылку в тело электронного письма. И если пользователи переходили по URL-адресу, то они попадали на удаленный веб-сайт, где вредоносный код JavaScript выполнял XSS-атаку на приложение веб-почты Zimbra их организации.
Уязвимости подвержены клиенты под управлением версий 8.8.15 P29 и P30 и позволяют злоумышленникам украсть файлы cookie сеанса Zimbra, а затем подключиться к учетной записи, откуда возможно получить доступ к электронной почте и осуществить последующие фишинговые рассылки контактам пользователя с заманчивым предложением загрузить вредоносное ПО.
В настоящее время к Интернету подключено более 33 000 серверов Zimbra и представители Volexity заявили, что нулевой день не затрагивает последнюю версию платформы Zimbra 9.x, а это означает, что поверхность атаки не такая большая, как предполагалось изначально.
Основываясь на инфраструктуре злоумышленника, используемой в этих атаках, исследователи по безопасности связали актора с APT китайского происхождения, которого назвали TEMP_Heretic.