Un actor de amenazas, probablemente de origen chino, está intentando activamente explotar una vulnerabilidad de día cero en la plataforma de correo electrónico de código abierto Zimbra como parte de las campañas de phishing que comenzaron en diciembre de 2021.
La operación de espionaje, cuyo nombre en código es » EmailThief «, fue detallada por la empresa de ciberseguridad Volexity en un informe técnico publicado el jueves, señalando que la explotación exitosa de la vulnerabilidad de secuencias de comandos entre sitios (XSS) podría resultar en la ejecución de código JavaScript arbitrario en el contexto de la sesión Zimbra del usuario.
Volexity atribuyó las intrusiones, que comenzaron el 14 de diciembre de 2021, a un grupo de piratas informáticos previamente indocumentado que está rastreando bajo el nombre de TEMP_HERETIC, con ataques dirigidos a entidades gubernamentales y de medios de comunicación europeas. El error de día cero afecta a la edición de código abierto más reciente de Zimbra que ejecuta la versión 8.8.15.
Se cree que los ataques ocurrieron en dos fases; la primera etapa tenía como objetivo el reconocimiento y la distribución de correos electrónicos diseñados para controlar si un objetivo recibió y abrió los mensajes. En la etapa posterior, se transmitieron múltiples oleadas de mensajes de correo electrónico para engañar a los destinatarios para que hicieran clic en un enlace malicioso.
En total, el atacante creó 74 direcciones de correo electrónico únicas de Outlook.com para enviar las misivas durante un período de dos semanas, entre las cuales los mensajes de reconocimiento iniciales contenían líneas de asunto genéricas que iban desde invitaciones a subastas benéficas hasta reembolsos de boletos aéreos.
«Para que el ataque tenga éxito, el objetivo tendría que visitar el enlace del atacante mientras estaba conectado al cliente de correo web de Zimbra desde un navegador web», señalaron Steven Adair y Thomas Lancaster. «Sin embargo, el enlace en sí podría iniciarse desde una aplicación para incluir un cliente pesado, como Thunderbird o Outlook».
La falla sin parchear, en caso de que se convierta en un arma, podría abusarse para filtrar cookies para permitir el acceso persistente a un buzón, enviar mensajes de phishing desde la cuenta de correo electrónico comprometida para ampliar la infección e incluso facilitar la descarga de malware adicional.
«Ninguna de las infraestructuras identificadas […] coincide exactamente con la infraestructura utilizada por grupos de amenazas previamente clasificados», dijeron los investigadores. «Sin embargo, según la organización objetivo y las personas específicas de la organización objetivo, y dado que los datos robados no tendrían valor financiero, es probable que los ataques hayan sido realizados por un actor chino de APT».
«Los usuarios de Zimbra deberían considerar actualizar a la versión 9.0.0 , ya que actualmente no existe una versión segura de 8.8.15», agregó la compañía.
