Phishing campaign steals accounts for Zimbra email servers worlwide
2023/08/17 BleepingComputer — 世界中の Zimbra Collaboration メール・サーバから、認証情報を盗み出そうとするフィッシング・キャンペーンが、遅くとも 2023年4月以降から進行している。ESET のレポートによると、一連のフィッシング・メールは、世界中の組織に対して送信されており、特定の組織や分野に焦点を当てたものではないという。このオペレーションの背後にいる脅威アクターについては、現時点では不明だとされる。
Zimbra の管理者になりすます
ESET の研究者たちによると、この攻撃は、ユーザー組織の管理者を装うフィッシング・メールから始まり、メール・サーバのアップデートが間近に迫っているという、偽の通知がユーザーたちに送られていく。
そして受信者たちは、添付された HTML ファイルを開き、サーバのアップグレードに関する詳細情報と、アカウントの無効化を回避するための手順を、確認するよう要求されることになる。
添付された HTML ファイルを開くと、あたかも本物であるかのように見せかるために、ターゲットとなる企業のロゴやブランドを用いた、偽の Zimbra ログイン・ページが表示される。
さらに、このページのログイン・フォームには、ユーザー名フィールドが予め入力されていることが、本物らしさを際立たせている。
フィッシング・ページのフォームに入力されたアカウントのパスワードは、HTTPS POST リクエストにより攻撃者のサーバに送信される。
ESET の報告によると、侵害した管理者アカウントで新しいメール・ボックスを作成した攻撃者は、そこから組織内の他のメンバーに対して、フィッシング・メールを送信しているようだ。
このキャンペーンの洗練度は低いが、その広がりと成功には目を見張るものがあり、Zimbra Collaboration のユーザーは、この脅威に注意する必要があると、アナリストたちは警告している。
攻撃を浴び続ける Zimbra サーバ
Zimbra Collaboration のメール・サーバを狙うハッカーたちの目的は、このフィッシングをイニシャル・ポイントとして悪用して、ターゲットのネットワークに侵入し、内部で通信された情報を収集することにある。
2023年の初めには、ロシアのハッキング・グループである Winter Vivern が、Zimbra Collaboration の脆弱性 CVE-2022-27926 を悪用して、NATO に加盟する組織/政府/外交官/軍関係者などの Web メール・ポータルにアクセスしていたことが、Proofpoint により明かされている。
また、2022年には、TEMP_Heretic と呼ばれる脅威アクターが、Zimbra Collaboration 製品のゼロデイ脆弱性 CVE-2022-24682 を悪用してメールボックスにアクセスし、ラテラル・フィッシング攻撃を行ったことが、Volexity から報告されている。
ESET は、「IT 予算が少ないと思われる組織において、Zimbra Collaboration の人気が高いことから、Zimbra Collaboration はハッカーたちにとって、依然として魅力的なターゲットであり続けるだろう」と結論付けている。
文中でも指摘されていますが、たとえば大学などの、資金に余裕のない組織で、Zimbra Collaboration は利用されているようです。その先で、脅威アクターたちは、どのように収益を上げるのでしょうか? よろしければ、以下の関連記事も、ご参照ください。
2023/07/27:Zimbra のゼロデイ CVE-2023-38750 が FIX
2023/07/13:Zimbra に深刻なゼロデイ:推奨されるパラメータとは?
2023/05/17:MalasLocker ランサムウェア:慈善団体への寄付を要求
IoT OT Security News 
You must be logged in to post a comment.