Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Operasi Phising Besar-besaran Pengguna Zimbra
  • Sektor Bisnis
  • Sektor Personal

Operasi Phising Besar-besaran Pengguna Zimbra

3 min read
Operasi Phising Besar-besaran Pengguna Zimbra

Credit Image: Pixabay

Peneliti ESET telah mengungkap operasi phising yang menyebar secara massal, operasi phising besar-besaran pengguna Zimbra yang sudah berlangsung beberapa waktu ini.

Operasi phising yang mengincar pengguna Zimbra ini bertujuan untuk mengumpulkan kredensial pengguna akun Zimbra, aktif setidaknya sejak April 2023 dan masih berlangsung.

Zimbra Collaboration adalah platform perangkat lunak kolaboratif open-core, alternatif populer untuk solusi email perusahaan. Operasi ini menyebar secara massal. Sasarannya adalah berbagai usaha kecil dan menengah dan entitas pemerintah.

Menurut telemetri ESET, jumlah target terbesar berada di Polandia, diikuti oleh Ekuador dan Italia. Perusahaan target bervariasi: musuh tidak fokus pada perusahaan tertentu.

Dan satu-satunya hal yang menghubungkan korban adalah bahwa mereka menggunakan Zimbra. Hingga saat ini, ESET belum mengaitkan operasi ini dengan pelaku ancaman yang diketahui.

Baca juga: Ransomware, Phising dan TripAdvisor

Negara Korban Phising

Awalnya, target menerima email dengan halaman phising di file HTML terlampir. email memperingatkan target tentang beberapa hal yakni:

  • Pembaruan server email.
  • Penonaktifan akun.
  • Masalah serupa dan mengarahkan pengguna untuk mengklik file terlampir.

Pelaku dari ancaman ini juga memalsukan dari bidang email agar tampak sebagai administrator server email.

Peringatan Zimbra

Setelah membuka lampiran, pengguna disajikan halaman login Zimbra palsu yang disesuaikan dengan perusahaan yang ditargetkan. File HTML dibuka di browser korban.

Yang mungkin mengelabui korban agar percaya bahwa mereka diarahkan ke halaman masuk yang sah, meskipun URL menunjuk ke jalur file lokal.

Perhatikan bahwa bidang Nama Pengguna diisi sebelumnya di formulir login, yang membuatnya tampak lebih sah.

Baca juga: Perusahaan Indonesia Biang Kerok Phising Terbesar

Login sah

Di latar belakang, kredensial yang dikirimkan dikumpulkan dari formulir HTML dan dikirim melalui permintaan HTTPS POST ke server yang dikendalikan oleh pelaku.

URL tujuan permintaan POST menggunakan pola berikut: https://<SERVER_ADDRESS>/wp-admin/ZimbraNew.php

Menariknya, pada beberapa kesempatan ESET mengamati gelombang berikutnya dari email phising yang dikirim dari akun Zimbra dari perusahaan sah yang ditargetkan sebelumnya, seperti donotreply[redacted]@[redacted].com.

Kemungkinan pelaku dapat menyusupi akun administrator korban dan membuat mailbox baru yang kemudian digunakan untuk mengirim email phising ke target lain.

Salah satu penjelasannya adalah bahwa musuh mengandalkan penggunaan ulang kata sandi oleh administrator yang ditargetkan melalui phising yaitu, menggunakan kredensial yang sama untuk email dan administrasi. Dari data yang tersedia kami tidak dapat mengkonfirmasi hipotesis ini.

Beragam Metode

Operasi siber yang diamati oleh ESET hanya mengandalkan social engineering dan interaksi pengguna; Namun, hal ini mungkin tidak selalu terjadi.

Dalam operasi sebelumnya yang dijelaskan oleh Proofpoint pada Maret 2023, grup APT Winter Vivern (alias TA473) telah mengeksploitasi kerentanan CVE-2022-27926, menargetkan portal webmail militer, pemerintah, dan entitas diplomatik negara-negara Eropa.

Contoh lain, dilaporkan oleh Volexity pada Februari 2022, sebuah grup bernama TEMP_Heretic mengeksfiltrasi email pemerintah Eropa dan perusahaan media dengan menyalahgunakan kerentanan lain (CVE-2022-24682) dalam fitur Kalender di Zimbra Collaboration.

Dalam penyebutan terbaru, peneliti EclecticIQ menganalisis operasi yang mirip dengan yang dijelaskan di posting blog ESET. Perbedaan utamanya adalah tautan HTML yang mengarah ke halaman login Zimbra palsu terletak langsung di badan email.

Baca juga: Empat Langkah Mitigasi Phising

Akumulasi Informasi

Meskipun operasi ini tidak begitu canggih, operasi ini masih dapat menyebar dan berhasil mengkompromikan perusahaan yang menggunakan Kolaborasi Zimbra.

Musuh memanfaatkan fakta bahwa lampiran HTML berisi kode yang sah, dan satu-satunya elemen petunjuk adalah tautan yang menunjuk ke host jahat.

Dengan cara ini, jauh lebih mudah untuk menghindari kebijakan antispam berbasis reputasi, dibandingkan dengan teknik phising di mana tautan berbahaya ditempatkan langsung di badan email.

Popularitas Kolaborasi Zimbra di antara perusahaan yang diharapkan memiliki anggaran TI yang lebih rendah memastikannya tetap menjadi target yang menarik bagi pengiklan.

Semoga topik mengenai operasi phising besar-besaran pengguna Zimbra dapat menambah wawasan seputar kejahatan siber dan dapat memberi manfaat.

 

Baca lainnya:

  • Phising Induk Ragam Serangan
  • Metode Phising QRIS Palsu
  • Google Terjemahan Bantu Phising
  • Langkah Pemulihan Serangan Phising
  • Phising Multi Persona
  • Memahami dan Mengatasi Phising Secara Sederhana

 

 

Sumber berita:

 

WeLiveSecurity

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top operasi phising incar zimbra operasi phising zimbra phisng zimbra

Continue Reading

Previous: Pengambilalihan Akun LinkedIn Paksa
Next: Judi Asia Tenggara Diancam Malware VPN

Related Stories

Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025
XSS Ancaman Tersembunyi di Webmail XSS Ancaman Tersembunyi di Webmail
4 min read
  • Sektor Bisnis
  • Sektor Personal

XSS Ancaman Tersembunyi di Webmail

June 24, 2025

Recent Posts

  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025

Copyright © All rights reserved. | DarkNews by AF themes.