Một chiến dịch lừa đảo đang diễn ra ít nhất là từ tháng 4 năm 2023 nhằm đánh cắp thông tin xác thực cho các máy chủ email Zimbra Collaboration trên toàn thế giới.
Theo báo cáo của ESET, email lừa đảo được gửi đến các tổ chức trên toàn thế giới, không tập trung cụ thể vào một số tổ chức hoặc lĩnh vực nhất định. Tác nhân đe dọa đằng sau hoạt động này vẫn chưa được xác định.
Giả dạng quản trị viên Zimbra
Theo các nhà nghiên cứu của ESET, các cuộc tấn công bắt đầu bằng một email lừa đảo giả vờ là từ quản trị viên của một tổ chức thông báo cho người dùng về một bản cập nhật máy chủ email sắp xảy ra sẽ dẫn đến việc hủy kích hoạt tài khoản tạm thời.
Người nhận được yêu cầu mở tệp HTML đính kèm để tìm hiểu thêm về việc nâng cấp máy chủ và xem hướng dẫn về cách tránh vô hiệu hóa tài khoản.
Khi mở tệp HTML, một trang đăng nhập Zimbra giả mạo sẽ hiển thị với logo và thương hiệu của công ty mục tiêu để lừa các mục tiêu nhập thông tin xác thực.
Ngoài ra, trường tên người dùng trong biểu mẫu (form) đăng nhập sẽ được điền sẵn, để làm tăng tính hợp pháp của trang lừa đảo.
Mật khẩu tài khoản được điền vào form đăng nhập lừa đảo sẽ được gửi đến máy chủ của tác nhân đe dọa.
Trong một số trường hợp, kẻ tấn công sử dụng tài khoản quản trị viên bị xâm phạm để tạo và phát tán email lừa đảo tới các thành viên khác của tổ chức.
Các nhà phân tích nhấn mạnh rằng mặc dù chiến dịch này không tinh vi, nhưng sự lan rộng và thành công của nó rất đáng chú ý và người dùng Zimbra Collaboration cần nhận thức được mối đe dọa này.
Người dùng nên cảnh giác khi nhận được các email từ nguồn lạ, hãy xác định tính xác thực của email trước khi làm theo yêu cầu trong đó, đặc biệt, nếu bạn được chuyển hướng đến một trang web yêu cầu cung cấp thông tin đăng nhập, hãy kiểm tra lại đó có thực sự là trang web của tổ chức của bạn hay không trước khi thực hiện bất kỳ hành động nào.
Máy chủ Zimbra bị tấn công
Máy chủ email Zimbra Collaboration vẫn luôn là mục tiêu hấp dẫn đối với các tác nhân đe dọa mạng để thực hiện hoạt động gián điệp mạng nhằm thu thập thông tin liên lạc nội bộ hoặc sử dụng chúng làm điểm xâm nhập ban đầu để lây lan sang mạng của tổ chức mục tiêu.
Đầu năm nay, Proofpoint đã tiết lộ rằng nhóm tin tặc Winter Vivern của Nga đã khai thác một lỗ hổng trong Zimbra Collaboration (CVE-2022-27926) để truy cập vào trang webmail của các tổ chức, chính phủ, nhà ngoại giao và quân nhân liên kết với NATO.
Năm ngoái, Volexity đã báo cáo rằng một tác nhân đe dọa có tên TEMP_Heretic đã lạm dụng lỗ hổng zero-day (CVE-2022-23682) trong sản phẩm Zimbra Collaboration để truy cập hộp thư và thực hiện các cuộc tấn công lừa đảo trực tuyến.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã tiết lộ một kỹ thuật mới cho phép duy trì truy cập trái phép trên các thiết bị iOS 16, có thể bị lạm dụng để theo dõi và truy cập lén lút vào thiết bị Apple ngay cả khi nạn nhân tin rằng thiết bị đó đang ngoại tuyến.
Tín nhiệm mạng | Một phương pháp tấn công mới được phát hiện có tên là NoFilter đã lạm dụng Windows Filtering Platform để thực hiện việc leo thang đặc quyền trong hệ điều hành Windows.
Tín nhiệm mạng | LinkedIn đang là mục tiêu trong một chiến dịch hack tài khoản dẫn đến nhiều tài khoản bị khóa vì lý do bảo mật hoặc bị những kẻ tấn công chiếm đoạt.
Tín nhiệm mạng | FBI đang cảnh báo về một chiến thuật mới được tội phạm mạng sử dụng khi chúng quảng cáo các phiên bản thử nghiệm độc hại của ứng dụng đầu tư tiền điện tử trên các cửa hàng ứng dụng di động phổ biến, sau đó được sử dụng để đánh cắp tiền điện tử.
Tín nhiệm mạng | Dịch vụ Discord.io đã tạm thời ngừng hoạt động sau khi bị vi phạm dữ liệu làm lộ thông tin của 760.000 thành viên.
Tín nhiệm mạng | Tác nhân đe dọa Trung Quốc được gọi là APT31 được cho là có liên quan đến một tập các backdoor có khả năng chuyển thông tin nhạy cảm đã thu thập được sang nền tảng lưu trữ Dropbox.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
