A empresa de segurança Volexity alertou que um grupo de hackers chinês até então desconhecido está explorando uma vulnerabilidade de dia 0 no software colaborativo do Zimbra.
De acordo com estatísticas oficiais, mais do que 200,000 empresas em 140 países ao redor do mundo usam Zimbra, incluindo mais de 1,000 instituições governamentais e financeiras. Os pesquisadores escrevem que usando a vulnerabilidade de dia 0, os atacantes obtêm acesso às caixas de correio das autoridades europeias e dos meios de comunicação social.
Os ataques foram descobertos em meados de dezembro, e embora a Volexity tenha notificado os desenvolvedores do Zimbra sobre o bug já em dezembro 16, a empresa ainda não lançou um patch.
Os ataques foram divididos em duas etapas. Inicialmente, os hackers enviaram um e-mail inofensivo às vítimas para determinar se as contas corretas estavam ativas e se os usuários abririam e-mails suspeitos de indivíduos desconhecidos.
O ataque real só aconteceu com um segundo e-mail, em que os hackers incluíram um link. Se o usuário acessou este URL, eles foram levados a um site de hackers onde um código JavaScript malicioso realizou um ataque XSS no webmail Zimbra na organização da vítima.
A vulnerabilidade funciona contra versões de clientes de webmail Zimbra 8.8.15 P29 e P30 e permite roubar cookies de sessão do Zimbra. Esses arquivos permitem que hackers se conectem à conta Zimbra de outra pessoa, de onde eles obtêm acesso ao e-mail (eles podem ver e-mails das vítimas’ caixas de correio e roubar seu conteúdo), depois disso, eles enviam mensagens de phishing adicionais aos contatos do usuário, e também oferecem alvos para download de malware.
Embora atualmente haja mais 33,000 Servidores Zimbra na web, Volexity diz que felizmente o dia 0 é seguro para o Zimbra 9.x (a versão mais recente da plataforma).
Com base na infraestrutura do invasor usada nesses ataques, os especialistas não conseguiram vincular o que estava acontecendo a qualquer grupo de hackers conhecido anteriormente. Como resultado, o agrupamento recebeu o nome TEMP_Heretic. Ao mesmo tempo, especialistas relatam que “o invasor é provavelmente de origem chinesa.”
Deixe-me lembrá-lo que informamos que Hackers chineses atacaram organizações dos EUA e exploraram bugs no F5, Citrix e Microsoft Exchange e também isso Hackers atacaram servidores Microsoft Exchange da Autoridade Bancária Europeia.