俄罗斯黑客利用Zimbra漏洞窃取北约电子邮件

关键要点

• 俄罗斯黑客组织Winter Vivern（也称为TA473）通过利用Zimbra Collaboration服务器的漏洞，窃取北约相关国家、组织和个人的电子邮件。
• 该漏洞被标记为CVE-2022-27926，黑客通过Acunetix扫描器检测易受攻击的Zimbra平台，并发送含有恶意链接的钓鱼邮件。
• 攻击者通过窃取的用户名、密码和Cookie令牌访问受影响的Zimbra账户。

根据的报道，俄罗斯黑客组织WinterVivern通过利用ZimbraCollaboration服务器的一项漏洞，成功地窃取了北约国家、组织和个人的电子邮件。此漏洞被跟踪为CVE-2022-27926。

Winter Vivern使用Acunetix扫描器扫描脆弱的ZimbraCollaboration网页邮件平台，并随后发送包含恶意链接的钓鱼邮件，这些链接利用该漏洞交付其他JavaScript载荷。根据Proofpoint的报告，这些载荷窃取了受影响Zimbra实例的用户名、密码和Cookie令牌，从而便于黑客访问电子邮件账户。

"这些CSRF JavaScript代码块在托管易受攻击的网页邮件实例的服务器上执行。此外，这段JavaScript会模拟原生网页邮件门户的JavaScript，以返回关键的网页请求细节，显示目标的用户名、密码和CSRF令牌。”Proofpoint指出，攻击者在发起攻击前进行了细致的侦察，因为他们针对RoundCube网页邮件请求令牌。

此次事件再次提醒我们，保持系统的更新和安全是多么重要，尤其是在面对不断演变的网络威胁时。