Киберпреступники, предположительно связанные с Китаем, активно атакуют пользователей платформы электронной почты с открытым исходным кодом Zimbra через уязвимость нулевого дня в рамках кампаний целенаправленного фишинга, начавшихся в декабре прошлого года. Шпионская операция, получившая кодовое название EmailThief, подробно описана в отчете ИБ-компании Volexity, опубликованном в четверг, 3 февраля. Согласно отчету, уязвимость межсайтового скриптинга (XSS) позволяет выполнить произвольный JavaScript-код в контексте пользовательского сеанса на платформе Zimbra. Проблема затрагивает последнюю версию Zimbra 8.8.15. Исследователи отнесли атаки на счет ранее неизвестной хакерской группировки TEMP_HERETIC, чьей целью являются правительственные и медийные организации в Европе. Атаки проходят в два этапа. На первом этапе злоумышленники проводят разведку и рассылают электронные письма с целью проверить, получает ли жертва и открывает ли сообщения. На втором этапе рассылается большое количество писем, в которых получателей обманом вынуждают нажать на вредоносную ссылку. Для того чтобы атака прошла успешно, жертва должна зайти на вредоносный сайт по ссылке, будучи авторизованной в web-клиенте Zimbra в браузере. Однако сама ссылка может запускаться из толстого клиента, например, Thunderbird или Outlook. Неисправленная уязвимость может использоваться для извлечения файлов cookie, что позволит злоумышленникам получить постоянный доступ к почтовому ящику и отправлять фишинговые письма со взломанных учетных записей. Пользователям Zimbra рекомендуется обновить платформу до версии 9.0.0, поскольку версия 8.8.15 является уязвимой.