Группа анализа угроз компании Google (TAG) обнаружила эксплойт 0-day для Zimbra Collaboration, используемый для кражи данных электронной почты международных правительственных организаций и отслеживаемый как CVE-2023-37580.
Впервые TAG обнаружила уязвимость 0-day, отражающую межсайтовый скриптинг (XSS), в июне, когда она активно использовалась в целевых атаках на почтовый сервер Zimbra. Zimbra разместила исправление на своем общедоступном Github 5 июля 2023 г. и опубликовала первоначальное сообщение с рекомендациями по устранению 13 июля 2023 г.
TAG обнаружила три группы, эксплуатировавшие уязвимость до выхода официального исправления, включая группы, которые могли узнать об ошибке после того, как исправление было первоначально опубликовано на Github.
Четвертая кампания, использующая XSS-уязвимость, была обнаружена TAG после выхода официального патча. Три из этих кампаний начались уже после того, как было обнародовано исправление, что подчеркивает важность скорейшего применения исправлений организациями.
Indicators of Compromise
Domains
- ntcpk.org
URLs
- https://applicationdevsoc.com/tndgt/auth.js
- https://applicationdevsoc.com/zimbraMalwareDefender/zimbraDefender.js
- https://obsorth.opwtjnpoc.ml/pQyMSCXWyBWJpIos.js