Created: February 4, 2022 10:34 AM
1. Zimbra XSS zero-day 취약점
2021년 12월 Zimbra 이메일 플랫폼의 제로데이 XSS 취약점을 이용한 스피어 피싱 캠페인이 확인되었다. Zimbra는 Microsoft Exchange의 대안으로 자주 사용되는 오픈소스 이메일 플랫폼이다.
현재 해당 취약점에 대한 패치가 없으며 CVE도 없다. 취약점을 이용하여 피해자의 라이브러리에 지속적으로 접근할 수 있도록 쿠키를 탈취하며, 사용자의 연락처에 추가 피싱 메시지를 보낸다. 또한 신뢰할 수 있는 웹 사이트에서 악성코드를 다운로드 하라는 메시지를 표시하기도 한다. 공격지는 중국일 가능성이 있으며 유럽 정부와 언론을 표적으로 하였다.
스피어 피싱 캠페인
- 정찰단계
- Invitations / Refunds for airline tickets / Warnings / 와 같은 스팸과 관련된 일반적인 제목으로 작성됨
- 단순히 메일 본문에 원격 이미지를 포함시켜서 이메일 주소의 유효성을 테스트하고, 피싱 이메일을 열 가능성이 높은 계정을 확인하기 위해 수행되었을 가능성이 크다(추정). 아래의 [integer]는 피해자를 식별하는데 사용되었다.
hxxp://fireclaws.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://feralrage.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://oaksage.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://claygolem.spiritfield[.]ga/[filename].jpeg?[integer]- 악성 이메일
- 공격자는 공격자가 제어하는 인프라에 대한 링크를 삽입한다.
- AFP(Agence France-Presse) 및 BBC와 같은 뉴스 기관을 사칭한 인터뷰 요청
- Sotheby’s가 주최하는 자선 경매 초대장
- 휴가 시즌에 항공사나 아마존에서 발송
- Air France, British Airways, Iberia Airways, Lufthansa, Southwest Airlines 및 United Airlines에서 보낸것으로 추정되는 크리스마스 및 새해 인사
- 아마존 프라임을 사용하거나 구매 할인을 받으라는 일반 메시지
- 아래와 같은 하위 도메인을 사용했다. 여기서 [second_integer]는 대상 조직을 나타내는데 사용하며, 악성 링크를 클릭하면 공격자 인프라는 특정 URI 형식을 통해 대상 조직의 zimbra 웹메일 호스트에 있는 페이지(특정 사용자가 로그인 했다면)로 리다이렉션을 시도한다. 이 형식은 사용자가 로그인 한 경우 공격자가 임의의 JavaScript를 로드할 수 있는 취약점을 이용하는 것이다.
hxxps://update.secretstep[.]tk/[filename].jpeg?u=[integer]&t=[second_integer]- 공격자 코드가 하는 일
- 사용자의 받은 편지함과 보낸 편지함에 있는 이메일을 반복해서 탐색한다
- 발견된 각 메일에 대해 http post 요청을 통해 메일 본문과 모든 첨부파일을 콜백 주소로 보낸다.
- 콜백주소:
mail.bruising-intellect [.]ml
- 콜백주소:
'깔짝할짝' 카테고리의 다른 글
| 2022-02-09 Wed (0) | 2022.02.10 |
|---|---|
| 2022-02-07 Mon (0) | 2022.02.07 |
| 2022-02-03 Thur (0) | 2022.02.03 |
| 2022-01-27 Thur (0) | 2022.01.27 |
| 2022-01-26 Wed (0) | 2022.01.26 |