黑客利用Zimbra电子邮件平台中的0天漏洞监视用户

A threat actor, likely Chinese in origin, is actively attempting to exploit a zero-day vulnerability in the Zimbra open-source email platform as part of spear-phishing campaigns that commenced in December 2021.

间谍行动—；代号为“电子邮件窃贼”和#8212；网络安全公司Volexity在周四发布的一份技术报告中详细介绍了该漏洞，指出成功利用跨站点脚本（XSS）漏洞可能导致在用户的Zimbra会话上下文中执行任意JavaScript代码。

VuleStices归因于2021年12月14日开始的入侵，这是一个先前未被证实的黑客组织，它在“名字风暴”的追随者的追踪下，袭击目标是针对欧洲政府和媒体实体。零日漏洞影响了运行8.8.15版本的Zimbra的最新开源版本。

据信，袭击分两个阶段进行；第一阶段的目标是侦察和分发电子邮件，以便在目标收到并打开邮件时保持跟踪。在随后的阶段，广播了多波电子邮件，诱使收件人点击恶意链接。

总共有74个独特的前景。攻击者创建了com电子邮件地址，用于在两周内发送邮件，其中最初的侦察信息包含通用主题行，从慈善拍卖邀请到机票退款。

史蒂文·阿代尔（Steven Adair）和托马斯·兰卡斯特（Thomas Lancaster）指出：“为了使攻击成功，目标必须在从网络浏览器登录Zimbra webmail客户端时访问攻击者的链接。”。“然而，链接本身可以从应用程序中启动，以包括一个厚客户端，如Thunderbird或Outlook。”

如果未修补的漏洞被武器化，它可能会被滥用，以过滤cookie以允许持久访问邮箱，从受损的电子邮件帐户发送钓鱼消息以扩大感染范围，甚至为下载其他恶意软件提供便利。

“没有发现任何基础设施；研究人员说：“与之前被列为威胁组织的基础设施完全匹配。”然而，基于目标组织和目标组织的特定个人，鉴于被盗数据没有任何财务价值，这些攻击很可能是由中国APT参与者实施的。"

“ZimBRA的用户应该考虑升级到版本0.0.0，因为目前还没有安全版本的8·15”，该公司补充说。