EmailThief: Zero-Day-Lücke in E-Mail-Plattform Zimbra entdeckt

Forscher haben eine aktive Hacking-Kampagne aufgedeckt, die eine Zero-Day-Schwachstelle in der E-Mail-Plattform Zimbra ausnutzt. Laut Cybersecurity-Forschern von Volexity, Steven Adair und Thomas Lancaster, nutzt eine TEMP_Heretic genannte Gruppe die Anfälligkeit für Spear-Phishing-E-Mail-Angriffe.

In einem Sicherheitshinweis erklärte Volexity, dass die Kampagne mit dem Namen „Operation EmailThief“ erstmals im Dezember 2021 entdeckt wurde und wahrscheinlich das Werk chinesischer Hacker ist. Dem Team zufolge geht TEMP_Heretic bei der Auswahl seiner potenziellen Opfer sehr sorgfältig vor. Der Bedrohungsakteur führt zunächst eine Erkundung durch und verwendet in Tracker eingebettete E-Mails, um festzustellen, ob eine Adresse gültig ist und ob ein Ziel überhaupt E-Mails öffnen würde – und wenn ja, wird die zweite Stufe der Angriffskette ausgelöst.

Insgesamt wurden 74 eindeutige Microsoft Outlook-E-Mail-Adressen verwendet, um die ersten E-Mails zu versenden, die allgemeine Bilder und Betreffs wie Einladungen, Warnungen und Flugticketrückerstattungen enthalten. TEMP_Heretic versendet dann maßgeschneiderte Phishing-E-Mails, die einen bösartigen Link enthalten. Die gezielteren Themen der nachfolgenden E-Mails bezogen sich auf Interviewanfragen von Nachrichtenorganisationen, darunter AFP und BBC, sowie auf Einladungen zu Wohltätigkeitsessen. Andere gesammelte Phishing-E-Mail-Muster waren allgemeiner gehalten und enthielten Urlaubsgrüße.

Bei der Zero-Day-Lücke handelt es sich um eine Cross-Site-Scripting (XSS)-Schwachstelle. Sie ermöglicht es Angreifern, beliebiges JavaScript im Kontext der Zimbra-Sitzung auszuführen, was zum Diebstahl von E-Mail-Daten, Anhängen und Cookies führt. Darüber hinaus könnten Cyberkriminelle ein kompromittiertes E-Mail-Konto nutzen, um weitere Phishing-E-Mails zu versenden oder das Opfer aufzufordern, zusätzliche Malware herunterzuladen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago