حملات سایبری هکرها به برخی سازمان‌های دولتی در جهان

گروه تحلیل تهدیدات گوگل (TAG) کشف کرده است که مهاجمان سایبری از یک آسیب‌پذیری روز صفر ( Zero Day ) در میل‌سرورهای زیمبرا برای سرقت داده‌های حساس از سازمان‌های دولتی در چندین کشور جهان استفاده کرده‌اند.

هک رها این مشکل امنیتی با شدت متوسط ​​را که اکنون با نام CVE-2023-37580 شناسایی شده است، از تقریباً یک ماه قبل از اینکه فروشنده در نسخه 8.8.15 نرم افزار به آن رسیدگی کند، مورد سوءاستفاده قرار دادند.

این نقص یک مشکل XSS ( اسکریپت میان سایتی ) است که در وب‌سرویس گیرنده زیمبرا وجود دارد.

به گفته تحلیلگران تهدید گوگل، عوامل تهدید از آسیب‌پذیری سیستم‌های دولتی در یونان، مولداوی، تونس، ویتنام و پاکستان برای سرقت داده‌های ایمیل‌ها، دسترسی کاربری و توکن‌های احراز هویت، انجام ارسال ایمیل و هدایت قربانیان به صفحات فیشینگ سوء استفاده کردند.

تیم گوگل چهار حمله متمایز را مشاهده کرد که از این آسیب‌پذیری استفاده می‌کردند که اولین حمله در اواخر خردادماه علیه یک سازمان دولتی در یونان شکل گرفته بود.

مهاجمان ایمیل‌هایی با آدرس اینترنتی مخرب ارسال می‌کردند که امکان استخراج داده‌های ایمیل را فراهم می‌کرد و امکان فوروارد خودکار به یک آدرس تحت کنترل مهاجم را فراهم می‌کرد.

پس از اینکه تحلیلگران گوگل به شرکت زیمبرا در خصوص موارد مشاهده شده هشدار دادند، این شرکت به سرعت تغییراتی فوری در داده‌های گیت‌هاب خود انجام داد.

کمپین دوم نیز چند روز بعد توسط گروهی با نام Winter Vivern انجام شد که سازمان‌های دولتی در مولداوی و تونس را هدف قرار داد. آدرس‌های جعلی در این مورد نیز فایل‌های مخرب جاوا اسکریپت را روی سیستم‌های هدف بارگذاری کرده بودند.

چند روز بعد زیمبرا یک توصیه امنیتی منتشر کرد که در آن اقداماتی برای جلوگیری از این آسیب‌پذیری توصیه می‌شد، اما هیچ اشاره‌ای به مورد سوء استفاده هکرها از این موضوع انجام نشده بود.

کمپین سوم در مردادماه از سوی یک گروه تهدید ناشناس که یک سازمان دولتی ویتنامی را هدف قرار داده بود، آغاز شد. این حملات از یک URL برای هدایت قربانیان به یک صفحه فیشینگ استفاده می‌کردند.

پنج روز بعد زیمبرا بالاخره یک پچ رسمی برای CVE-2023-37580 منتشر کرد، اما هنوز اطلاعات مربوط به بهره‌برداری فعال را حذف نمی‌کند.

گوگل اشاره می‌کند که این سه عامل تهدید قبل از انتشار اصلاحیه رسمی از این آسیب پذیری سوء استفاده کرده‌اند.

چهارمین کمپین حملات نیز پس از انتشار پچ زیمبرا، بر روی سیستم‌های یک سازمان دولتی پاکستان برای سرقت توکن‌های احراز هویت اعمال شد.

گزارش گوگل جزئیات زیادی را درباره مهاجمان فاش نمی‌کند، اما همچنان به عنوان یادآوری اهمیت به‌روزرسانی‌های امنیتی به موقع است، علیرغم این که این آسیب‌پذیری‌ها به آسیب‌پذیری‌های با شدت متوسط ​​نام‌گذاری می‌شوند، مهاجمان ممکن است از آن‌ها برای پی‌ریزی حملات خطرناک‌تر استفاده کنند.

بهره‌برداری از CVE-2023-37580 یکی از نمونه‌های متعدد نقص‌های XXS است که برای حمله به سرورهای ایمیل، مانند CVE-2022-24682 و CVE-2023-5631 استفاده می‌شود، که روی زیمبرا و Roundcube تأثیر می‌گذارد.