大规模网络钓鱼活动针对 Zimbra Collaboration 电子邮件服务器的用户

一场大规模的社会工程活动瞄准了 Zimbra Collaboration 电子邮件服务器的用户，以窃取他们的登录凭据。

ESET 研究人员发现自 2023 年 4 月以来针对 Zimbra Collaboration 电子邮件服务器用户的大规模网络钓鱼活动。Zimbra Collaboration 是一个开放核心协作软件平台。

该活动仍在持续进行中，并针对广泛的中小型企业和政府实体。

大多数受害者在波兰，其次是厄瓜多尔和意大利。

网络钓鱼邮件在附加的 HTML 文件中包含网络钓鱼页面，它们警告收件人电子邮件服务器更新、帐户停用或类似问题。电子邮件的内容经过精心设计，旨在诱骗收件人打开附件。攻击者还欺骗电子邮件的“发件人：”字段，使其看起来像是电子邮件服务器管理员。

HTML 文件包含为受害者组织量身定制的虚假 Zimbra 登录页面。该页面包含一个用户名字段，其中预先填充了受害者的电子邮件地址，试图显得合法。一旦收件人提供了凭据，就会从 HTML 表单中收集这些凭据，并通过 HTTPS POST 请求将其发送到攻击者控制下的服务器。

POST 请求目标 URL 使用以下模式：https://<SERVER_ADDRESS>/wp-admin/ZimbraNew.php

该活动之所以引人注目，是因为威胁行为者还依赖于先前目标公司的受损帐户。这种情况表明攻击者能够接管与这些受害者相关的管理员帐户，并使用它们向其他潜在目标发送电子邮件。

“有趣的是，我们多次观察到从先前目标合法公司的 Zimbra 帐户（例如 donotreply[redacted]@[redacted].com）发送的后续网络钓鱼电子邮件浪潮。攻击者很可能能够侵入受害者的管理员帐户并创建新邮箱，然后用于向其他目标发送网络钓鱼电子邮件。” ESET 发布的报告指出。“一种解释是，攻击者依赖管理员通过网络钓鱼重复使用密码，即使用相同的凭据进行电子邮件和管理。从现有数据来看，我们无法证实这一假设。”

研究人员指出，这一活动尽管并不复杂，但仍然非常有效。Zimbra 协作服务器对于威胁参与者来说是一个有吸引力的目标，研究人员强调，该解决方案在预计 IT 预算较低的组织中非常受欢迎。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7789.html