EmailThief: Zero-Day-Lücke in E-Mail-Plattform Zimbra entdeckt

Forscher haben eine aktive Hacking-Kampagne aufgedeckt, die eine Zero-Day-Schwachstelle in der E-Mail-Plattform Zimbra ausnutzt. Laut Cybersecurity-Forschern von Volexity, Steven Adair und Thomas Lancaster, nutzt eine TEMP_Heretic genannte Gruppe die Anfälligkeit für Spear-Phishing-E-Mail-Angriffe.

In einem Sicherheitshinweis erklärte Volexity, dass die Kampagne mit dem Namen „Operation EmailThief“ erstmals im Dezember 2021 entdeckt wurde und wahrscheinlich das Werk chinesischer Hacker ist. Dem Team zufolge geht TEMP_Heretic bei der Auswahl seiner potenziellen Opfer sehr sorgfältig vor. Der Bedrohungsakteur führt zunächst eine Erkundung durch und verwendet in Tracker eingebettete E-Mails, um festzustellen, ob eine Adresse gültig ist und ob ein Ziel überhaupt E-Mails öffnen würde – und wenn ja, wird die zweite Stufe der Angriffskette ausgelöst.

Insgesamt wurden 74 eindeutige Microsoft Outlook-E-Mail-Adressen verwendet, um die ersten E-Mails zu versenden, die allgemeine Bilder und Betreffs wie Einladungen, Warnungen und Flugticketrückerstattungen enthalten. TEMP_Heretic versendet dann maßgeschneiderte Phishing-E-Mails, die einen bösartigen Link enthalten. Die gezielteren Themen der nachfolgenden E-Mails bezogen sich auf Interviewanfragen von Nachrichtenorganisationen, darunter AFP und BBC, sowie auf Einladungen zu Wohltätigkeitsessen. Andere gesammelte Phishing-E-Mail-Muster waren allgemeiner gehalten und enthielten Urlaubsgrüße.

Bei der Zero-Day-Lücke handelt es sich um eine Cross-Site-Scripting (XSS)-Schwachstelle. Sie ermöglicht es Angreifern, beliebiges JavaScript im Kontext der Zimbra-Sitzung auszuführen, was zum Diebstahl von E-Mail-Daten, Anhängen und Cookies führt. Darüber hinaus könnten Cyberkriminelle ein kompromittiertes E-Mail-Konto nutzen, um weitere Phishing-E-Mails zu versenden oder das Opfer aufzufordern, zusätzliche Malware herunterzuladen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago