Peneliti keamanan telah mengungkap operasi phising yang menyebar secara massal, hacker buru pengguna Zimbra melalui operasi phising besar-besaran yang sudah berlangsung beberapa waktu ini.
Operasi phising yang mengincar pengguna Zimbra ini bertujuan untuk mengumpulkan kredensial pengguna akun Zimbra, aktif setidaknya sejak April 2023 dan masih berlangsung.
Zimbra Collaboration adalah platform perangkat lunak kolaboratif open-core, alternatif populer untuk solusi email perusahaan. Operasi ini menyebar secara massal. Sasarannya adalah berbagai usaha kecil dan menengah dan entitas pemerintah.
Menurut telemetri ESET, jumlah target terbesar berada di Polandia, diikuti oleh Ekuador dan Italia. Perusahaan target bervariasi: musuh tidak fokus pada perusahaan tertentu.
Dan satu-satunya hal yang menghubungkan korban adalah bahwa mereka menggunakan Zimbra. Hingga saat ini, ESET belum mengaitkan operasi ini dengan pelaku ancaman yang diketahui.
Negara Korban Phising
Ulah hacker buru pengguna Zimbra ini diawali dengan target menerima email dengan halaman phising di file HTML terlampir. email memperingatkan target tentang beberapa hal yakni:
- Pembaruan server email.
- Penonaktifan akun.
- Masalah serupa dan mengarahkan pengguna untuk mengklik file terlampir.
Pelaku dari ancaman ini juga memalsukan dari bidang email agar tampak sebagai administrator server email.
Peringatan Zimbra
Setelah membuka lampiran, pengguna disajikan halaman login Zimbra palsu yang disesuaikan dengan perusahaan yang ditargetkan. File HTML dibuka di browser korban.
Yang mungkin mengelabui korban agar percaya bahwa mereka diarahkan ke halaman masuk yang sah, meskipun URL menunjuk ke jalur file lokal.
Perhatikan bahwa bidang Nama Pengguna diisi sebelumnya di formulir login, yang membuatnya tampak lebih sah.
Login sah
Di latar belakang, kredensial yang dikirimkan dikumpulkan dari formulir HTML dan dikirim melalui permintaan HTTPS POST ke server yang dikendalikan oleh pelaku.
URL tujuan permintaan POST menggunakan pola berikut: https://<SERVER_ADDRESS>/wp-admin/ZimbraNew.php
Menariknya, pada beberapa kesempatan ESET mengamati gelombang berikutnya dari email phising yang dikirim dari akun Zimbra dari perusahaan sah yang ditargetkan sebelumnya, seperti donotreply[redacted]@[redacted].com.
Kemungkinan pelaku dapat menyusupi akun administrator korban dan membuat mailbox baru yang kemudian digunakan untuk mengirim email phising ke target lain.
Salah satu penjelasannya adalah bahwa musuh mengandalkan penggunaan ulang kata sandi oleh administrator yang ditargetkan melalui phising yaitu, menggunakan kredensial yang sama untuk email dan administrasi. Dari data yang tersedia kami tidak dapat mengkonfirmasi hipotesis ini.
Beragam Metode
Operasi siber yang diamati oleh ESET hanya mengandalkan social engineering dan interaksi pengguna; Namun, hal ini mungkin tidak selalu terjadi.
Dalam operasi sebelumnya pada Maret 2023, grup APT Winter Vivern (alias TA473) telah mengeksploitasi kerentanan CVE-2022-27926, menargetkan:
- Portal webmail militer.
- Pemerintah.
- Dan entitas diplomatik negara-negara Eropa.
Contoh lain, dilaporkan oleh Volexity pada Februari 2022, sebuah grup bernama TEMP_Heretic mengeksfiltrasi email pemerintah Eropa dan perusahaan media dengan menyalahgunakan kerentanan lain (CVE-2022-24682) dalam fitur Kalender di Zimbra Collaboration.
Dalam penyebutan terbaru, peneliti EclecticIQ menganalisis operasi yang mirip dengan yang dijelaskan di posting blog ESET. Perbedaan utamanya adalah tautan HTML yang mengarah ke halaman login Zimbra palsu terletak langsung di badan email.
Akumulasi Informasi
Meskipun operasi ini tidak begitu canggih, operasi ini masih dapat menyebar dan berhasil mengkompromikan perusahaan yang menggunakan Kolaborasi Zimbra.
Musuh memanfaatkan fakta bahwa lampiran HTML berisi kode yang sah, dan satu-satunya elemen petunjuk adalah tautan yang menunjuk ke host jahat.
Dengan cara ini, jauh lebih mudah untuk menghindari kebijakan antispam berbasis reputasi, dibandingkan dengan teknik phising di mana tautan berbahaya ditempatkan langsung di badan email.
Popularitas Kolaborasi Zimbra di antara perusahaan yang diharapkan memiliki anggaran TI yang lebih rendah memastikannya tetap menjadi target yang menarik bagi pengiklan.
Semoga topik mengenai operasi phising besar-besaran pengguna Zimbra dapat menambah wawasan seputar kejahatan siber dan dapat memberi manfaat.
Baca lainnya:
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
- Dominasi Business Email Compromise
- Investigasi Serangan Phising
- Layanan Phising Crypto Tipu Ribuan Korban
Sumber berita:
Prosperita IT News