Hacker Buru Pengguna Zimbra - vimanamail - spamcleaner

Peneliti keamanan telah mengungkap operasi phising yang menyebar secara massal, hacker buru pengguna Zimbra melalui operasi phising besar-besaran yang sudah berlangsung beberapa waktu ini.

Operasi phising yang mengincar pengguna Zimbra ini bertujuan untuk mengumpulkan kredensial pengguna akun Zimbra, aktif setidaknya sejak April 2023 dan masih berlangsung.

Zimbra Collaboration adalah platform perangkat lunak kolaboratif open-core, alternatif populer untuk solusi email perusahaan. Operasi ini menyebar secara massal. Sasarannya adalah berbagai usaha kecil dan menengah dan entitas pemerintah.

Menurut telemetri ESET, jumlah target terbesar berada di Polandia, diikuti oleh Ekuador dan Italia. Perusahaan target bervariasi: musuh tidak fokus pada perusahaan tertentu.

Dan satu-satunya hal yang menghubungkan korban adalah bahwa mereka menggunakan Zimbra. Hingga saat ini, ESET belum mengaitkan operasi ini dengan pelaku ancaman yang diketahui.

Negara Korban Phising

Ulah hacker buru pengguna Zimbra ini diawali dengan target menerima email dengan halaman phising di file HTML terlampir. email memperingatkan target tentang beberapa hal yakni:

Pembaruan server email.
Penonaktifan akun.
Masalah serupa dan mengarahkan pengguna untuk mengklik file terlampir.

Pelaku dari ancaman ini juga memalsukan dari bidang email agar tampak sebagai administrator server email.

Peringatan Zimbra

Setelah membuka lampiran, pengguna disajikan halaman login Zimbra palsu yang disesuaikan dengan perusahaan yang ditargetkan. File HTML dibuka di browser korban.

Yang mungkin mengelabui korban agar percaya bahwa mereka diarahkan ke halaman masuk yang sah, meskipun URL menunjuk ke jalur file lokal.

Perhatikan bahwa bidang Nama Pengguna diisi sebelumnya di formulir login, yang membuatnya tampak lebih sah.

Login sah

Di latar belakang, kredensial yang dikirimkan dikumpulkan dari formulir HTML dan dikirim melalui permintaan HTTPS POST ke server yang dikendalikan oleh pelaku.

URL tujuan permintaan POST menggunakan pola berikut: https://<SERVER_ADDRESS>/wp-admin/ZimbraNew.php

Menariknya, pada beberapa kesempatan ESET mengamati gelombang berikutnya dari email phising yang dikirim dari akun Zimbra dari perusahaan sah yang ditargetkan sebelumnya, seperti donotreply[redacted]@[redacted].com.

Kemungkinan pelaku dapat menyusupi akun administrator korban dan membuat mailbox baru yang kemudian digunakan untuk mengirim email phising ke target lain.

Salah satu penjelasannya adalah bahwa musuh mengandalkan penggunaan ulang kata sandi oleh administrator yang ditargetkan melalui phising yaitu, menggunakan kredensial yang sama untuk email dan administrasi. Dari data yang tersedia kami tidak dapat mengkonfirmasi hipotesis ini.

Beragam Metode

Operasi siber yang diamati oleh ESET hanya mengandalkan social engineering dan interaksi pengguna; Namun, hal ini mungkin tidak selalu terjadi.

Dalam operasi sebelumnya pada Maret 2023, grup APT Winter Vivern (alias TA473) telah mengeksploitasi kerentanan CVE-2022-27926, menargetkan:

Portal webmail militer.
Pemerintah.
Dan entitas diplomatik negara-negara Eropa.

Contoh lain, dilaporkan oleh Volexity pada Februari 2022, sebuah grup bernama TEMP_Heretic mengeksfiltrasi email pemerintah Eropa dan perusahaan media dengan menyalahgunakan kerentanan lain (CVE-2022-24682) dalam fitur Kalender di Zimbra Collaboration.

Dalam penyebutan terbaru, peneliti EclecticIQ menganalisis operasi yang mirip dengan yang dijelaskan di posting blog ESET. Perbedaan utamanya adalah tautan HTML yang mengarah ke halaman login Zimbra palsu terletak langsung di badan email.

Akumulasi Informasi

Meskipun operasi ini tidak begitu canggih, operasi ini masih dapat menyebar dan berhasil mengkompromikan perusahaan yang menggunakan Kolaborasi Zimbra.

Musuh memanfaatkan fakta bahwa lampiran HTML berisi kode yang sah, dan satu-satunya elemen petunjuk adalah tautan yang menunjuk ke host jahat.

Dengan cara ini, jauh lebih mudah untuk menghindari kebijakan antispam berbasis reputasi, dibandingkan dengan teknik phising di mana tautan berbahaya ditempatkan langsung di badan email.

Popularitas Kolaborasi Zimbra di antara perusahaan yang diharapkan memiliki anggaran TI yang lebih rendah memastikannya tetap menjadi target yang menarik bagi pengiklan.

Semoga topik mengenai operasi phising besar-besaran pengguna Zimbra dapat menambah wawasan seputar kejahatan siber dan dapat memberi manfaat.

Baca lainnya:

Sumber berita:

Prosperita IT News

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.