Исследователи ESET обнаружили новую фишинговую кампанию, направленную на пользователей почтового сервера Zimbra Collaboration.
Исследователи ESET обнаружили массовую фишинговую кампанию, направленную на сбор учетных данных пользователей учетной записи Zimbra, действующую как минимум с апреля 2023 года и продолжающуюся до сих пор.
Zimbra Collaboration - программная платформа для совместной работы с открытым ядром, популярная альтернатива корпоративным почтовым решениям. Кампания носит массовый характер, ее объектами являются различные компании малого и среднего бизнеса, а также государственные структуры.
По данным телеметрии ESET, наибольшее количество целей находится в Польше, далее следуют Эквадор и Италия. Целевые организации различны: противники не ориентируются на какую-либо конкретную вертикаль, единственное, что связывает жертв, - это использование Zimbra.
Первоначально жертва получает письмо с фишинговой страницей во вложенном HTML-файле. Письмо предупреждает об обновлении почтового сервера, деактивации учетной записи или аналогичной проблеме и предлагает пользователю щелкнуть на вложенном файле. Злоумышленник также подменяет поле From: в письме, представляясь администратором почтового сервера.
После открытия вложения пользователю открывается фальшивая страница входа в систему Zimbra, настроенная в соответствии с требованиями целевой организации. HTML-файл открывается в браузере жертвы, что может заставить ее поверить в то, что она попала на легитимную страницу входа в систему, хотя URL указывает на путь к локальному файлу. Обратите внимание, что в форме входа в систему поле Username заполнено заранее, что придает ей более легитимный вид.
В фоновом режиме введенные учетные данные собираются из HTML-формы и отправляются HTTPS POST-запросом на сервер, контролируемый злоумышленником. URL-адреса назначения POST-запроса имеют следующий вид: https://<SERVER_ADDRESS>/wp-admin/ZimbraNew.php
Интересно, что в ряде случаев ESET наблюдали последующие волны фишинговых писем, отправленных с учетных записей Zimbra ранее атакованных легитимных компаний, например donotreply[redacted]@[redacted].com. Вероятно, злоумышленникам удалось скомпрометировать учетные записи администраторов жертв и создать новые почтовые ящики, которые затем использовались для рассылки фишинговых писем другим целям. Одно из объяснений заключается в том, что злоумышленники рассчитывают на повторное использование паролей администраторами, на которых направлено фишинговое воздействие, т.е. на использование одних и тех же учетных данных для работы с электронной почтой и администрирования. Из имеющихся данных мы не можем подтвердить эту гипотезу.
Indicators of Compromise
IPv4
- 145.14.144.174
- 145.14.144.58
- 145.14.145.122
- 145.14.145.248
- 145.14.145.36
- 145.14.145.94
- 173.44.236.125
Domains
- fmaildd.000webhostapp.com
- mtatdd.000webhostapp.com
- nmailddt.000webhostapp.com
- posderd.000webhostapp.com
- ridddtd.000webhostapp.com
- tmaxd.000webhostapp.com
- zimbra.y2kportfolio.com
URLs
- https://fmaildd.000webhostapp.com/wp-admin/ZimbraNew.php
- https://mtatdd.000webhostapp.com/wp-admin/ZimbraNew.php
- https://nmailddt.000webhostapp.com/wp-admin/ZimbraNew.php
- https://posderd.000webhostapp.com/wp-admin/ZimbraNew.php
- https://ridddtd.000webhostapp.com/wp-admin/ZimbraNew.php
- https://tmaxd.000webhostapp.com/wp-admin/ZimbraNew.php
- https://zimbra.y2kportfolio.com/wp/wp-admin/ZimbraNew.php