E-posta servislerinde dünya çapında bir açık keşfedildi!
Google'ın Tehdit Analiz Grubu perşembe günü yaptığı açıklamada, Yunanistan, Moldova, Tunus, Vietnam ve Pakistan'daki hükümetlerden veri çalmak için kullanılan bir e-posta sunucusu kusurunu keşfettiğini ve düzeltmeye yardımcı olmak için çalıştığını açıkladı.
CVE-2023-37580 olarak bilinen istismar, kuruluşlardan e-posta verilerini, kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çalmak için e-posta sunucusu Zimbra Collaboration'ı hedef alıyor.
Güvenlik açığını keşfeden ve bir devlet kuruluşuna bu açığı içeren e-postalar gönderen saldırganlar ilk olarak haziran sonunda Yunanistan'da görüldü. Birisi Zimbra hesabında oturum açarken bağlantıya tıklarsa, e-posta verileri otomatik olarak çalınıyor ve adresin kontrolünü ele geçirmek için otomatik yönlendirme ayarlanıyor.
Temmuz ayı ortalarında, tehdit grubu Winter Vivern'in bu istismarı ele geçirdiği ortaya çıktı. Winter Vivern, Moldova ve Tunus'taki hükümet kuruluşlarını hedef aldı. Ardından üçüncü bir bilinmeyen aktör, Vietnam hükümeti üyelerinin kimlik bilgilerini ele geçirmek için bu istismarı kullandı. Bu veriler, muhtemelen saldırganlar tarafından yönetilen resmi bir hükümet alanında yayınlandı. Google'ın Tehdit Analiz Grubu'nun ayrıntılı olarak açıkladığı son saldırı, kilitli veya korumalı bilgilere erişmek için kullanılan güvenli bir bilgi parçası olan Zimbra kimlik doğrulama belirteçlerini çalmak için Pakistan'daki bir devlet kuruluşunu hedef aldı.
E-posta servislerinde dünya çapında bir açık keşfedildi!
Zimbra kullanıcıları da bu yılın başlarında toplu kimlik avı kampanyasının hedefiydi. ESET araştırmacılarına göre, nisan ayından itibaren bilinmeyen bir tehdit aktörü, HTML dosyasında kimlik avı bağlantısı içeren bir e-posta gönderiyor. Bundan önce, 2022'de tehdit aktörleri, Avrupa hükümeti ve medya kuruluşlarından gelen e-postaları çalmak için farklı bir Zimbra açığını kullanmıştı.
Zimbra, 2022 itibarıyla 1.000'in üzerinde devlet kurumu dahil olmak üzere 200.000'den fazla müşterisinin olduğunu söyledi. ESET araştırmacıları, saldırganların neden Zimbra'yı hedef aldığıyla ilgili olarak "Zimbra İşbirliğinin daha düşük BT bütçesine sahip olması beklenen kuruluşlar arasındaki popülaritesi, bunun rakipler için çekici bir hedef olarak kalmasını sağlıyor" dedi.