根據(jù) ESET 的一份報(bào)告，至少從 2023 年 4 月起，網(wǎng)絡(luò)釣魚活動(dòng)就一直在試圖竊取全球多地的 Zimbra Collaboration 電子郵件憑證。

根據(jù) ESET 研究人員的說法，攻擊始于一封假裝來自組織管理員的網(wǎng)絡(luò)釣魚電子郵件，通知用戶即將進(jìn)行電子郵件服務(wù)器更新，會(huì)導(dǎo)致帳戶暫時(shí)停用，要求用戶打開附加的 HTML 文件，以了解有關(guān)服務(wù)器升級(jí)的更多信息，并查看有關(guān)避免停用帳戶的說明。

釣魚郵件內(nèi)容示例

打開 HTML 附件時(shí)，將顯示一個(gè)虛假的 Zimbra 登錄頁面，為了更加真實(shí)，該頁面復(fù)刻了包含目標(biāo)公司的徽標(biāo)和品牌。一旦在釣魚表單中輸入了帳戶密碼，就會(huì)通過 HTTPS POST 請(qǐng)求發(fā)送到攻擊者的服務(wù)器。

Zimbra 釣魚登錄頁面

竊取用戶輸入的密碼

ESET 報(bào)告稱，在某些情況下，攻擊者會(huì)使用竊取到的管理員帳戶創(chuàng)建新郵箱向企業(yè)組織的其他成員發(fā)送網(wǎng)絡(luò)釣魚電子郵件。分析師強(qiáng)調(diào)，盡管該活動(dòng)缺乏復(fù)雜性，但其傳播范圍很廣，Zimbra Collaboration 的用戶需要意識(shí)到這一威脅。

由于此次網(wǎng)絡(luò)釣魚電子郵件被發(fā)送到世界各地的企業(yè)組織，而不是特定針對(duì)某些組織或部門，其背后的攻擊者身份仍然未知。

通常，攻擊者會(huì)針對(duì) Zimbra Collaboration 電子郵件服務(wù)器進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，以收集內(nèi)部通信或?qū)⑵溆米鱾鞑サ侥繕?biāo)組織網(wǎng)絡(luò)的初始突破點(diǎn)。

今年年初，Proofpoint 透露，俄羅斯“ Winter Vivern ”黑客組織利用 Zimbra Collaboration 缺陷 (CVE-2022-27926) 訪問了北約組織、政府、外交官和軍事人員的網(wǎng)絡(luò)郵件門戶；去年，Volexity 報(bào)告稱，名為“ TEMP_Heretic ”的攻擊者利用 Zimbra Collaboration 產(chǎn)品中的零日漏洞 (CVE-2022-23682) 訪問郵箱并執(zhí)行了橫向網(wǎng)絡(luò)釣魚攻擊。

ESET 總結(jié)稱，Zimbra Collaboration 在IT 預(yù)算較低的企業(yè)組織中廣受歡迎，這也導(dǎo)致它對(duì)攻擊者而言是一個(gè)頗具吸引力的目標(biāo)。