EmailThief: Zero-Day-Lücke in E-Mail-Plattform Zimbra entdeckt

Forscher haben eine aktive Hacking-Kampagne aufgedeckt, die eine Zero-Day-Schwachstelle in der E-Mail-Plattform Zimbra ausnutzt. Laut Cybersecurity-Forschern von Volexity, Steven Adair und Thomas Lancaster, nutzt eine TEMP_Heretic genannte Gruppe die Anfälligkeit für Spear-Phishing-E-Mail-Angriffe.

In einem Sicherheitshinweis erklärte Volexity, dass die Kampagne mit dem Namen „Operation EmailThief“ erstmals im Dezember 2021 entdeckt wurde und wahrscheinlich das Werk chinesischer Hacker ist. Dem Team zufolge geht TEMP_Heretic bei der Auswahl seiner potenziellen Opfer sehr sorgfältig vor. Der Bedrohungsakteur führt zunächst eine Erkundung durch und verwendet in Tracker eingebettete E-Mails, um festzustellen, ob eine Adresse gültig ist und ob ein Ziel überhaupt E-Mails öffnen würde – und wenn ja, wird die zweite Stufe der Angriffskette ausgelöst.

Insgesamt wurden 74 eindeutige Microsoft Outlook-E-Mail-Adressen verwendet, um die ersten E-Mails zu versenden, die allgemeine Bilder und Betreffs wie Einladungen, Warnungen und Flugticketrückerstattungen enthalten. TEMP_Heretic versendet dann maßgeschneiderte Phishing-E-Mails, die einen bösartigen Link enthalten. Die gezielteren Themen der nachfolgenden E-Mails bezogen sich auf Interviewanfragen von Nachrichtenorganisationen, darunter AFP und BBC, sowie auf Einladungen zu Wohltätigkeitsessen. Andere gesammelte Phishing-E-Mail-Muster waren allgemeiner gehalten und enthielten Urlaubsgrüße.

Bei der Zero-Day-Lücke handelt es sich um eine Cross-Site-Scripting (XSS)-Schwachstelle. Sie ermöglicht es Angreifern, beliebiges JavaScript im Kontext der Zimbra-Sitzung auszuführen, was zum Diebstahl von E-Mail-Daten, Anhängen und Cookies führt. Darüber hinaus könnten Cyberkriminelle ein kompromittiertes E-Mail-Konto nutzen, um weitere Phishing-E-Mails zu versenden oder das Opfer aufzufordern, zusätzliche Malware herunterzuladen.