Chiến dịch lừa đảo đánh cắp tài khoản máy chủ email Zimbra trên toàn thế giới

Chiến dịch lừa đảo đánh cắp tài khoản máy chủ email Zimbra trên toàn thế giới

Một chiến dịch lừa đảo đang diễn ra ít nhất là từ tháng 4 năm 2023 nhằm đánh cắp thông tin xác thực cho các máy chủ email Zimbra Collaboration trên toàn thế giới.

Theo báo cáo của ESET, các email lừa đảo được gửi đến các tổ chức trên toàn thế giới, không tập trung cụ thể vào một số tổ chức hoặc lĩnh vực nhất định. Tác nhân đe dọa đằng sau hoạt động này vẫn chưa được biết vào thời điểm này.

Các quốc gia bị chiến dịch tấn công nhắm đến, theo ESET

Giả làm quản trị viên Zimbra

Theo các nhà nghiên cứu của ESET, các cuộc tấn công bắt đầu bằng một email lừa đảo giả vờ là từ quản trị viên của một tổ chức thông báo cho người dùng về một bản cập nhật máy chủ email sắp xảy ra, điều này sẽ dẫn đến việc hủy kích hoạt tài khoản tạm thời.

Người nhận được yêu cầu mở tệp HTML đính kèm để tìm hiểu thêm về việc nâng cấp máy chủ và xem hướng dẫn về cách tránh vô hiệu hóa tài khoản.

Khi mở tệp đính kèm HTML, một trang đăng nhập Zimbra giả sẽ được hiển thị có logo và nhãn hiệu của công ty mục tiêu để để lừa các mục tiêu đăng nhập thông tin xác thực.

Ngoài ra, trường tên người dùng trong biểu mẫu đăng nhập sẽ được điền sẵn, để làm tăng tính hợp pháp của trang lừa đảo.

Mật khẩu tài khoản được nhập trong biểu mẫu lừa đảo trên sẽ được gửi đến máy chủ của tác nhân đe dọa thông qua yêu cầu HTTPS POST.

ESET báo cáo rằng trong một số trường hợp, kẻ tấn công sử dụng tài khoản quản trị viên bị xâm phạm để tạo hộp thư mới được sử dụng để phổ biến email lừa đảo tới các thành viên khác của tổ chức.

Các nhà phân tích nhấn mạnh rằng mặc dù chiến dịch này thiếu tinh vi, nhưng sự lan rộng và thành công của nó rất ấn tượng và người dùng Zimbra Collaboration nên nhận thức được mối đe dọa này.

Người dùng nên cảnh giác khi nhận được các email từ nguồn lạ, hoặc các mail có nội dung yêu cầu thay đổi thông tin một cách  bất ngờ, hãy liên hệ với nhân viên IT của công ty hoặc nhà cung cấp dịch vụ xác định tính xác thực của email trước khi làm theo yêu cầu trong đó. Đặc biệt, nếu bạn được chuyển hướng đến một trang web yêu cầu cung cấp thông tin đăng nhập, hãy kiểm tra lại đó có thực sự là trang web của tổ chức của bạn hay không trước khi thực hiện bất kỳ hành động nào. Thông thường các nhà cung cấp sẽ không bao giờ yêu cầu bạn cung cấp mật khẩu để thực hiện nâng cấp bất cứ vấn đề gì liên quan đến hệ thống.

Máy chủ Zimbra bị tấn công

Tin tặc thường nhắm mục tiêu các máy chủ email Zimbra Collaboration để thực hiện hoạt động gián điệp mạng nhằm thu thập thông tin liên lạc nội bộ hoặc sử dụng chúng làm điểm vi phạm ban đầu để lây lan sang mạng của tổ chức mục tiêu.

Đầu năm nay, Proofpoint đã tiết lộ rằng nhóm tin tặc ‘Winter Vivern‘ của Nga đã khai thác lỗ hổng Hợp tác Zimbra (CVE-2022-27926) để truy cập vào các cổng webmail của các tổ chức, chính phủ, nhà ngoại giao và quân nhân liên kết với NATO .

Năm ngoái, Volexity đã báo cáo rằng một tác nhân đe dọa có tên ‘ TEMP_Heretic ‘ đã tận dụng lỗ hổng zero-day (CVE-2022-23682) trong sản phẩm Zimbra Collaboration để truy cập hộp thư và thực hiện các cuộc tấn công lừa đảo trực tuyến.

ESET kết luận: “Sự phổ biến của Zimbra Collaboration giữa các tổ chức dự kiến ​​có ngân sách CNTT thấp hơn đảm bảo rằng nó luôn là mục tiêu hấp dẫn đối với các đối thủ”.

Nguồn: bleepingcomputer.com

P.A Việt Nam cung cấp giải pháp Email Server dành cho Doanh Nghiệp

Email Server Riêng

Email Server Pro

Email Server Pro 247

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/

Tham khảo các bài viết về Email Server khác tại https://kb.pavietnam.vn/category/email-server