Bilgisayar korsanları, Zimbra'yı sömüren yeni saldırılarla Ukrayna hükümet kurumlarını hedefliyorlar.
Ukrayna'nın bilgisayar acil müdahale ekibi (CERT-UA) yeni kampanyaları tespit etti ve icedid kimlik avı saldırısını daha önce AgentTesla dağılımıyla ve şu anda bilinmeyen bir aktör olan UAC-0097'ye bağlanan UAC-0041 tehdit kümesine atfetti.
Nitelikler orta derecede kendinden emin olsa da, bu Ukrayna varlıklarını hedef alan kötü amaçlı siber aktivitenin başka bir anlık görüntüsüdür.
Her iki durumda da, tehdit aktörlerinin amacı, Ukrayna'nın en kritik devlet kurumlarında siber casusluk yapmak için iç ağlara erişmektir.
İlk raporda, birçok alıcıya ulaşan XLS belgelerini "Mobilizasyon Register.xls" adlı bir kampanyayı açıklar.
Belgeyi açmak, kullanıcının görüntüleme için "içeriğini" etkinleştirmesini, kötü amaçlı bir makroyu indirmeyi ve kötü amaçlı bir dosyayı çalıştırmayı çalıştırmasını istedi.
Bu dosya, final yükü, icedid (aka bankbotu) olan Gziploader Malware'dir.
IceDID, hesap kimlik bilgilerini çalmak için veya kobalt grevi, fidye yazılımları, silecekler ve daha fazlası gibi ek, ikinci kademeli kötü amaçlı yazılımların bir yükleyicisi olarak kullanılabilecek modüler bir bankacılık truvasıdır.
İkinci rapor, Ukrayna'daki Devlet kurumlarına gönderilen bir e-postayı, Başkan V. Zelensky'nin silahlı kuvvetler üyeleri aldığı bir olaydan itibaren ekli görüntülerle birlikte.
Ekteki görüntüler, Zimbra CVE-2018-6882 güvenlik açığının sömürüsünü tetikleyen JavaScript kodunu barındıran bir Web Kaynağını barındıran bir içerik-konum başlığı içerir.
Bu çapraz site komut dosyası güvenlik açığı, Zimbra Collaboration Suite sürümlerini 8.7 ve yaşlılar, uzak saldırıların e-posta eklerinde bir içerik konum başlığı üzerinden keyfi web komut dosyası veya HTML'yi enjekte etmelerini sağlar.
Zimbra, anlık mesajlaşma, rehber, video konferans, dosya paylaşımı ve bulut depolama yeteneklerini içeren bir e-posta ve işbirliği platformudur.
Bu durumda, kusurun sömürülmesi, mağdurun e-postaları için tehdit aktörünün kontrolü altındaki yeni bir adrese yönelik bir yönlendirme kuralı ekler.
Süitin en son 8.8.15 p29 ve P30 versiyonlarını etkileyen Zimbra'nın bu yılın başlarında benzer bir XSS sorunu olduğunu belirtmekte fayda var.
Bu kusur, Avrupa medya ve devlet organizasyonlarının e-postalarını çalmak için kullanan Çinli tehdit aktörleri tarafından sıfır gün olarak aktif olarak yararlandı.
Böylece, CERT-UA, Ukrayna'daki tüm kuruluşları Zimbra kullanarak hemen, hemen süitin en yeni sürümlerine güncellenmesini önerir.
Ukrayna, Belarus hacker'larını askeri hedefleyen kimlik avına bağladı
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
ABD'nin Kuzey Koreli Hacker'da Rehberlik Sorunları, 5 milyon dolarlık ödül sunuyor
Google Chrome acil güncelleme, saldırılarda kullanılan sıfır günü düzeltti
Cisco Güvenlik Açığı, bilgisayar korsanlarının kendi giriş bilgilerini yapmalarını sağlar
Kaynak: Bleeping Computer