پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

حملات فیشینگ بیش از هزاران کاربر Zimbra را هدف قرار دادند و همچنان ادامه دارد …

تیتر مطالب

پیرو اطلاع رسانی های قبلی در خصوص سرورهای Zimbra و آسیب پذیری آنها، همچنان حملات فیشینگ روی این محصولات ادامه دارد. 

یک کمپین فیشینگ کاربران مجموعه نرم افزاری Zimbra را در کشورهای مختلف هدف حملات خود قرار داده است. این مجموعه نرم افزار شامل  سرور Mail و web client نیز می شود. Zimbra در سالهای اخیر درگیر حوادث امنیتی مختلفی بوده است. طبق گزارشات ESET از آپریل 2023، مهاجمین سایبری با استفاده از ایمیل های فیشینگ توانستند مجوزهای حسابهای ممتاز Zimbra را حذف کنند. هدف اصلی در این حملات کسب و کارهای کوچک و متوسط بودند اما گزارشات متعددی از آلوده شدن سازمانهای بزرگ نیز وجود دارد.

حملات فیشینگ علیه کاربران Zimbra

هر حمله با یک ایمیل فیشینگ کلی و مشابه شروع شده و ادعا می کند که فرستنده آن Zimbra  بوده و حاوی یک پیام فوری مثلا در مورد آپدیت سرور یا غیرفعال شدن اکانت و …  با عنوان “important information from Zimbra security service” است:

“Starting today 3/7/2023 Your Zimbra web client login page will change. We are preparing for an email update. However, to avoid deactivation and loss of access to your email account, preview the download of the attachment.”

ایمیل با Zimbra Boss-Administrator امضا شده است. یک فایل HTML نیز ضمیمه آن است که کاربر را به صفحه لاگین Zimbra با برخی از عناصر سفارشی شده برای سازمانهای هدف، هدایت می کند. این صفحه در مرورگر کاربر باز می شود و با اینکه مسیر یک فایل محلی است، قسمت نام کاربری را به صورت خودکار پر می کند تا تصور صفحه ورود به Zimbra را برای کاربر ایجاد کند.

تاثیر بر مشتریان

مسلما هر کاربری که پسورد خود را در صفحه لاگین جعلی وارد می کند در واقع اطلاعات حساس خود را برای مهاجم به صورت مستقیم ارسال کرده است.

به گفته محققین ESET بدترین حالت این است که مهاجم می تواند امتیازات سطح Zimbra Administrator و سپس به طور بالقوه امتیازات root روی خود سرور را به دست آورد. اما این موضوع به عوامل مختلفی از جمله استفاده از رمزعبور تکراری و نحوه تنظیمات و … بستگی دارد.

کشورهایی که بیشترین آسیب را دیده اند لهستان، آکوادور، ایتالیا، مکزیک و قزاقستان و هلند هستند و صرفا محدود به منطقه خاصی نبوده و این حملات بجز استفاده از محصولات Zimbra وجه مشترکی نیز باهم ندارد.

در نهایت ESET توصیه می کند که استفاده از رمزعبورهای قوی، احراز هویت چندعاملی و به روز رسانی نسخه های قدیمی Zimbra در پیشگیری از این حملات کمک کننده خواهد بود.

منبع:

https://www.darkreading.com