针对中小型企业的钓鱼攻击活动

关键要点

一场长期的钓鱼活动正在成功盯上使用 Zimbra Collaboration 软件平台的用户，尤其是中小型企业和政府机构。攻击者通过伪造的电子邮件诱骗目标提交账户凭证。该活动利用用户的社交工程行为，显示出人类往往是安全防护的薄弱环节。该活动已自今年四月以来活跃在多个欧洲和拉丁美洲国家。

正在进行的一场钓鱼攻击活动主要针对中小型企业与政府机构，成功获取用户在 Zimbra Collaboration 软件平台上的账户凭证。

此活动由一个身份不明的威胁团体发起，自至少四月以来活跃于多个欧洲和拉丁美洲国家。

ESET 研究员 Viktor perka 发现了这项活动，并在他的博客中分享了公司的调查结果。

perka 在帖中表示：“尽管这个活动在技术上并不复杂，但仍然能够传播并成功攻陷使用 Zimbra Collaboration 的组织，因此该平台依旧是对手的吸引目标。”

Zimbra 平台吸引威胁行为者的原因在于，使用该平台的组织通常期望拥有较低的 IT 预算，因此其安全防护措施相对简单。

用户被假 Zimbra 登录页面欺骗

这场活动通过发送伪造的电子邮件来警告目标账户即将被停用、电子邮件服务器需更新或其他类似的问题。电子邮件中附带一个 HTML 文件，打开后会显示一个伪造的 Zimbra 登录页面。该页面被定制成受害组织的名称和徽标。

perka 指出：“登录表单的 ‘用户名’ 字段会预填目标的详细信息，这让它看起来更具可信性。”

提交在假页面上的凭证会被从 HTML 表单中收集并发送到攻击者控制的服务器上。

perka 说：“这时，攻击者可能会潜入受影响的电子邮件账户。”

“攻击者可能成功攻陷受害者的管理员账户，并创建新邮箱以此向其他目标发送钓鱼邮件。”

在 HTML 文件中包含恶意链接，而不是直接放在电子邮件正文中，可以更轻易地规避基于声誉的反垃圾邮件政策，perka 表示。

他指出：“对手利用 HTML 附件包含合法代码的这一事实，而唯一可疑的元素就是指向恶意主机的链接。”

人类是往往最薄弱的环节

perka 说：“ESET 观察到的这一活动仅依赖社会工程和用户交互；然而，这并不总是如此。”

在三月， Proofpoint 描述了另外一次攻击，该攻击针对 Zimbra Collaboration 实例，威胁团体 Winter Vivern 利用一个已知漏洞 (CVE20222792) 针对 NATO 相关政府的网页邮件门户进行攻击。

上个月， EclecticIQ 研究员 识别出一个自一月以来正在进行的钓鱼活动，利用 Zimbra 和 Roundcube 电子邮件服务器针对政府机构。

perka 表示，那场活动与他发现的活动相似，唯一区别在于指向假 Zimbra 登录页面的 HTML 链接直接放在了电子邮件正文中。

在最新活动中，ESET 的遥测数据显示，主要的目标位于波兰，其次是厄瓜多尔和意大利。乌克兰、法国和荷兰的组织也成为攻击目标。

npv加速器

“目标组织多样化：对手并未专注于任何特定行业，唯一将受害者联系在一起的是他们都使用 Zimbra，”perka 写道。