Al menos cuatro grupos de ciberataques distintos han utilizado una antigua vulnerabilidad de seguridad de día cero en Zimbra Collaboration Suite (ZCS) para robar datos de correo electrónico, credenciales de usuario y tokens de autenticación de organizaciones gubernamentales a nivel mundial.
ZCS es un servidor de correo electrónico, calendario y plataforma de chat y vídeo, utilizado por “miles” de empresas y “cientos de millones” de individuos, según el sitio web Zimbra. Sus organizaciones clientes son tan diversas como el Instituto Avanzado de Ciencia y Tecnología de Japón, el Instituto Max Planck de Alemania y Gunung Sewu, una de las principales incubadoras de empresas del sudeste asiático.
El bicho (CVE-2023-37580) es una vulnerabilidad reflejada de secuencias de comandos entre sitios (XSS) en el servidor de correo electrónico Zimbra que fue parcheado el 25 de julio, con una revisión implementada en su repositorio público de GitHub el 5 de julio. Según un informe del Grupo de Análisis de Amenazas (TAG) de Google Compartida con Dark Reading, la explotación de día cero comenzó en junio, antes de que Zimbra ofreciera remediación.
Cuatro ciberataques separados contra gobiernos mundiales
Google TAG ha revelado detalles sobre las campañas gubernamentales, que incluyen:
- 29 de junio: Atacantes desconocidos atacan Grecia.
- 11 de julio: La campaña Winter Vivern APT se dirige a Moldavia y Túnez.
- 20 de julio: Atacantes desconocidos atacan Vietnam.
- 25 de agosto: Atacantes desconocidos atacan Pakistán.
"El descubrimiento inicial de la vulnerabilidad de día cero fue una campaña dirigida a una organización gubernamental en Grecia", según los investigadores de Google TAG. "Los atacantes enviaron correos electrónicos que contenían URL de explotación a sus objetivos".
Si un objetivo hacía clic en el enlace durante una sesión iniciada en Zimbra, la URL cargaba un marco que roba los correos electrónicos y los archivos adjuntos de los usuarios; y configuró una regla de reenvío automático a una dirección de correo electrónico controlada por el atacante.
Mientras tanto, la campaña Winter Vivern duró dos semanas después de comenzar el 11 de julio.
“TAG identificó múltiples URL de explotación dirigidas a organizaciones gubernamentales en Moldavia y Túnez; cada URL contenía una dirección de correo electrónico oficial única para organizaciones específicas en esos gobiernos”, según el análisis de TAG.
La tercera campaña de día cero, realizada por un grupo no identificado, fue parte de una expedición de phishing contra una organización gubernamental en Vietnam.
"En este caso, la URL del exploit apuntaba a un script que mostraba una página de phishing para las credenciales de correo web de los usuarios y publicaba credenciales robadas en una URL alojada en un dominio oficial del gobierno que los atacantes probablemente comprometieron", explicaron los investigadores de Google.
La cuarta campaña empleó un exploit de día N para robar tokens de autenticación de Zimbra de una organización gubernamental en Pakistán.
"El descubrimiento de al menos cuatro campañas que explotan CVE-2023-37580... demuestra la importancia de que las organizaciones apliquen correcciones a sus servidores de correo lo antes posible", concluyó el aviso. "Estas campañas también destacan cómo los atacantes monitorean los repositorios de código abierto para explotar de manera oportunista las vulnerabilidades donde la solución está en el repositorio, pero aún no se ha entregado a los usuarios".
Los ciberatacantes apuntan a los servidores de Juicy Mail
Ha habido una explotación continua de las vulnerabilidades en los servidores de correo, por lo que las organizaciones deberían priorizar su parcheo.
Sólo Zimbra ha estado plagada de incidentes de seguridad, incluyendo un error de ejecución remota de código explotado como día cero en octubre de 2022 y una campaña de robo de información por parte de la nación de Corea del Norte que se aprovechó de servidores sin parches. Y en enero, CISA advirtió que los actores de amenazas estaban explotando múltiples CVE contra ZCS.
Mientras tanto, el mes pasado Winter Vivern estaba explotando una falla de día cero en Roundcube Webmail servidores, con una campaña de correo electrónico malicioso dirigida a organizaciones gubernamentales y un grupo de expertos en Europa que solo requiere que un usuario vea un mensaje.
Según TAG: "La explotación regular de las vulnerabilidades XSS en los servidores de correo también muestra la necesidad de una mayor auditoría del código de estas aplicaciones, especialmente para las vulnerabilidades XSS".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/apts-swarm-zimbra-zero-day-to-steal-government-info-worldwide
