Google scopre un exploit nel server di posta elettronica Zimbra Collaboration, utilizzato per attacchi cyber a governi in Grecia, Moldavia, Tunisia, Vietnam e Pakistan.
Il Threat Analysis Group di Google ha recentemente rivelato di aver scoperto e contribuito alla correzione di una grave falla nel server di posta elettronica Zimbra Collaboration, usata per rubare dati sensibili da governi in Grecia, Moldavia, Tunisia, Vietnam e Pakistan. La vulnerabilità, identificata come CVE-2023-37580, è stata sfruttata per accedere e rubare dati di posta elettronica, credenziali utente e token di autenticazione.
Il fenomeno ha avuto inizio in Grecia alla fine di giugno, quando gli hacker hanno inviato e-mail contenenti l’exploit a un’organizzazione governativa. Se qualcuno cliccava sul link fornito nell’e-mail mentre era connesso al proprio account Zimbra, l’exploit rubava automaticamente i dati delle e-mail e impostava un inoltro automatico, prendendo il controllo dell’indirizzo email.
Nonostante Zimbra avesse pubblicato un hotfix sulla piattaforma open source Github il 5 luglio, la maggior parte degli attacchi si è verificata successivamente. Questo indica che molti obiettivi non avevano aggiornato il software con la correzione in tempo utile. Il Google Threat Analysis Group ha sottolineato l’importanza di aggiornare tempestivamente i dispositivi e di monitorare i repository open-source, in quanto gli aggressori tendono a sfruttare vulnerabilità per le quali la correzione è disponibile, ma non ancora distribuita agli utenti.
Intorno a metà luglio, il gruppo di minacce Winter Vivern è entrato in possesso dell’exploit e ha preso di mira organizzazioni governative in Moldavia e Tunisia. Successivamente, un terzo attore sconosciuto ha utilizzato l’exploit per accedere alle credenziali dei membri del governo del Vietnam, pubblicando i dati su un dominio governativo ufficiale, presumibilmente gestito dagli stessi hacker. L’ultima campagna identificata dal Google Threat Analysis Group ha mirato a un’organizzazione governativa in Pakistan per rubare i token di autenticazione Zimbra.
Oltre a queste campagne, gli utenti di Zimbra sono stati oggetto di un’ampia campagna di phishing all’inizio dell’anno. A partire da aprile, un attore sconosciuto ha iniziato a inviare e-mail con link di phishing contenuti in un file HTML. In precedenza, nel 2022, gli attori delle minacce avevano sfruttato un diverso exploit di Zimbra per rubare e-mail di organizzazioni governative e mediatiche europee.
Zimbra, con oltre 200.000 clienti e più di 1.000 organizzazioni governative, rimane un obiettivo di interesse per i cyber criminali, specialmente per quelli che presumono che tali organizzazioni possano avere budget IT limitati. Secondo i ricercatori di ESET, la popolarità di Zimbra Collaboration tra organizzazioni con budget IT più ridotti lo rende un obiettivo attraente per gli attacchi informatici.
