Forscher haben eine aktive Hacking-Kampagne aufgedeckt, die eine Zero-Day-Schwachstelle in der E-Mail-Plattform Zimbra ausnutzt. Laut Cybersecurity-Forschern von Volexity, Steven Adair und Thomas Lancaster, nutzt eine TEMP_Heretic genannte Gruppe die Anfälligkeit für Spear-Phishing-E-Mail-Angriffe.
In einem Sicherheitshinweis erklärte Volexity, dass die Kampagne mit dem Namen „Operation EmailThief“ erstmals im Dezember 2021 entdeckt wurde und wahrscheinlich das Werk chinesischer Hacker ist. Dem Team zufolge geht TEMP_Heretic bei der Auswahl seiner potenziellen Opfer sehr sorgfältig vor. Der Bedrohungsakteur führt zunächst eine Erkundung durch und verwendet in Tracker eingebettete E-Mails, um festzustellen, ob eine Adresse gültig ist und ob ein Ziel überhaupt E-Mails öffnen würde – und wenn ja, wird die zweite Stufe der Angriffskette ausgelöst.
Insgesamt wurden 74 eindeutige Microsoft Outlook-E-Mail-Adressen verwendet, um die ersten E-Mails zu versenden, die allgemeine Bilder und Betreffs wie Einladungen, Warnungen und Flugticketrückerstattungen enthalten. TEMP_Heretic versendet dann maßgeschneiderte Phishing-E-Mails, die einen bösartigen Link enthalten. Die gezielteren Themen der nachfolgenden E-Mails bezogen sich auf Interviewanfragen von Nachrichtenorganisationen, darunter AFP und BBC, sowie auf Einladungen zu Wohltätigkeitsessen. Andere gesammelte Phishing-E-Mail-Muster waren allgemeiner gehalten und enthielten Urlaubsgrüße.
Bei der Zero-Day-Lücke handelt es sich um eine Cross-Site-Scripting (XSS)-Schwachstelle. Sie ermöglicht es Angreifern, beliebiges JavaScript im Kontext der Zimbra-Sitzung auszuführen, was zum Diebstahl von E-Mail-Daten, Anhängen und Cookies führt. Darüber hinaus könnten Cyberkriminelle ein kompromittiertes E-Mail-Konto nutzen, um weitere Phishing-E-Mails zu versenden oder das Opfer aufzufordern, zusätzliche Malware herunterzuladen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…