Google’ın Tehdit Analiz Grubu Perşembe günü Yunanistan, Moldova, Tunus, Vietnam ve Pakistan’daki hükümetlerden veri çalmak için kullanılan bir e-posta sunucusu açığını keşfettiğini ve yamalanmasına yardımcı olmak için çalıştığını açıkladı. CVE-2023-37580 olarak bilinen açık, kuruluşlardan e-posta verilerini, kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çalmak için e-posta sunucusu ‘Zimbra Collaboration’ı hedef aldı. Haziran sonunda Yunanistan’da başladı. Güvenlik açığını keşfeden saldırganlar bir devlet kurumuna, açığı içeren e-postalar gönderdi. Bir kişi Zimbra hesabında oturum açmışken bağlantıya tıkladığında, saldırganlar otomatik olarak e-posta verilerini çaldı ve adresin kontrolünü ele geçirmek için otomatik bir yönlendirme ayarladı. Zimbra 5 Temmuz’da açık kaynak platformu Github’da bir düzeltme yayınlamış olsa da, açığı dağıtan faaliyetlerin çoğu daha sonra gerçekleşti. Bu da hedeflerin çok geç olana kadar yazılımı düzeltme ile güncellemeye fırsat bulamadıkları anlamına geliyor. Bu, görmezden geldiğiniz cihazları şimdi ve daha fazla güncelleme mevcut olduğunda en kısa sürede güncellemeniz için iyi bir hatırlatmadır. Google Tehdit Analiz Grubu bir blog yazısında, “Bu kampanyalar aynı zamanda saldırganların, düzeltmenin depoda olduğu ancak henüz kullanıcılara sunulmadığı güvenlik açıklarından fırsatçı bir şekilde yararlanmak için açık kaynak depolarını nasıl izlediklerini de vurguluyor” diye yazdı.
Temmuz ayı ortalarında, Winter Vivern adlı tehdit grubunun bu açıktan yararlandığı anlaşıldı. Winter Vivern Moldova ve Tunus’taki devlet kurumlarını hedef aldı. Ardından, üçüncü bir bilinmeyen aktör, Vietnam hükümetinin üyelerinden kimlik bilgileri almak adına kimlik avı yapmak için açıklardan yararlanan yazılımı kullandı. Bu veriler, muhtemelen saldırganlar tarafından işletilen resmi bir hükümet etki alanında yayınlandı. Google’ın Tehdit Analiz Grubu’nun detaylandırdığı son kampanya, kilitli veya korumalı bilgilere erişmek için kullanılan güvenli bir bilgi parçası olan Zimbra kimlik doğrulama belirteçlerini çalmak için Pakistan’daki bir devlet kurumunu hedef aldı. Zimbra kullanıcıları da bu yılın başlarında bir toplu kimlik avı kampanyasının hedefi olmuştu. ESET araştırmacılarına göre, Nisan ayından itibaren bilinmeyen bir tehdit aktörü, bir HTML dosyası içinde kimlik avı bağlantısı içeren bir e-posta gönderiyor. Bundan önce, 2022 yılında, tehdit aktörleri Avrupa hükümet ve medya kuruluşlarından e-posta çalmak için farklı bir Zimbra istismarı kullandı. 2022 itibariyle Zimbra, 1.000’den fazla devlet kuruluşu da dahil olmak üzere 200.000’den fazla müşterisi olduğunu söyledi. ESET araştırmacıları, saldırganların Zimbra’yı neden hedef aldığı konusunda, “Zimbra Collaboration’ın daha düşük bilgi teknolojisi bütçelerine sahip olması beklenen kuruluşlar arasındaki popülaritesi, saldırganlar için cazip bir hedef olmaya devam etmesini sağlıyor” dedi.