Une campagne de phishing en cours est en cours depuis au moins avril 2023 qui tente de voler les informations d’identification des serveurs de messagerie Zimbra Collaboration dans le monde entier.
Selon un rapport d’ESET, des e-mails de phishing sont envoyés à des organisations du monde entier, sans se concentrer spécifiquement sur certaines organisations ou certains secteurs. L’acteur menaçant à l’origine de cette opération reste inconnu à l’heure actuelle.
Se faire passer pour les administrateurs de Zimbra
Selon les chercheurs d’ESET, les attaques commencent par un e-mail de phishing prétendant provenir de l’administrateur d’une organisation informant les utilisateurs d’une mise à jour imminente du serveur de messagerie, ce qui entraînera la désactivation temporaire du compte.
Le destinataire est invité à ouvrir un fichier HTML joint pour en savoir plus sur la mise à niveau du serveur et consulter les instructions pour éviter la désactivation des comptes.
Lors de l’ouverture de la pièce jointe HTML, une fausse page de connexion Zimbra s’affichera avec le logo et la marque de l’entreprise ciblée pour apparaître authentique aux yeux des cibles.
De plus, le champ du nom d’utilisateur dans le formulaire de connexion sera pré-rempli, ce qui renforcera la légitimité de la page de phishing.
Les mots de passe de compte saisis dans le formulaire de phishing sont envoyés au serveur de l’auteur de la menace via une requête HTTPS POST.
ESET rapporte que dans certains cas, les attaquants utilisent des comptes d’administrateur compromis pour créer de nouvelles boîtes aux lettres qui sont utilisées pour diffuser des e-mails de phishing à d’autres membres de l’organisation.
Les analystes soulignent que malgré le manque de sophistication de cette campagne, sa diffusion et son succès sont impressionnants, et les utilisateurs de Zimbra Collaboration doivent être conscients de la menace.
Les serveurs Zimbra sous le feu
Les pirates informatiques ciblent généralement les serveurs de messagerie de Zimbra Collaboration pour le cyberespionnage afin de collecter les communications internes ou de les utiliser comme point de brèche initial pour se propager au réseau de l’organisation cible.
Plus tôt cette année, Proofpoint a révélé que le groupe de piratage russe « Winter Vivern » avait exploité une faille de collaboration Zimbra (CVE-2022-27926) pour accéder aux portails de messagerie Web des organisations, gouvernements, diplomates et militaires alignés sur l’OTAN.
L’année dernière, Volexity a signalé qu’un acteur malveillant nommé « TEMP_Heretic » avait exploité une faille zero-day (CVE-2022-23682) dans le produit Zimbra Collaboration pour accéder aux boîtes aux lettres et effectuer des attaques de phishing latérales.
« La popularité de Zimbra Collaboration parmi les organisations censées avoir des budgets informatiques plus faibles garantit qu’elle reste une cible attrayante pour les adversaires », conclut ESET.