Código HTML do Conteúdo
Post: Os hackers exploraram a falha do Zimbra como dia zero usando arquivos iCalendar
<div>
<div>
<p>Pesquisadores monitorando para maiores. Anexos do calendário ICSdescobriu que uma falha no Zimbra Collaboration Suite (ZCS) foi usada em ataques de dia zero no início do ano.</p>
<p>Os arquivos ICS, também conhecidos como arquivos iCalendar, são usados para armazenar informações de calendário e agendamento (reuniões, eventos e tarefas) em texto simples e para trocá-las entre vários aplicativos de calendário.</p>
<p>Os agentes de ameaças exploraram o CVE-2025-27915, uma vulnerabilidade de cross-site scripting (XSS) no ZCS 9.0, 10.0 e 10.1, para fornecer uma carga útil JavaScript aos sistemas de destino.</p>
<p>A vulnerabilidade decorre da limpeza insuficiente do conteúdo HTML em arquivos ICS, o que permitiu que invasores executassem JavaScript arbitrário na sessão da vítima, como definir filtros que redirecionam mensagens para eles.</p>
<p>Zimbra <a href="http://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.5#Security_Fixes" rel="nofollow noopener" target="_blank">Resolveu o problema de segurança</a> em 27 de janeiroao lançar ZCS 9.0.0 P44, 10.0.13 e 10.1.5, mas não mencionou nenhuma atividade de exploração ativa.</p>
<p>No entanto, pesquisadores da StrikeReady, uma empresa que desenvolve uma plataforma de gerenciamento de ameaças e operações de segurança orientada por IA, descobriram o ataque depois de ficarem de olho no . Arquivos ICS maiores que 10 KB e incluídos código JavaScript.</p>
<p>Eles determinaram que os ataques começaram no início de janeiro, antes de Zimbra lançar o patch.</p>
<p>O agente da ameaça falsificou o Escritório de Protocolo da Marinha da Líbia em um e-mail que entregou uma exploração de dia zero que teve como alvo uma organização militar brasileira.</p>
<div>
<p><img decoding="async" alt="E-mail malicioso enviado pelos invasores" height="600" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/emnail.jpg" width="764 /></div>
<p>The malicious email contained a 00KB ICS file with a JavaScript file that was obfuscated using the Base64 encoding scheme.</p>
<div style="><br />
<img decoding="async" alt="Desofuscando a carga útil do JavaScript" height="555" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/js.png" width="1170 /></div>
<p>According to the <a href=">pesquisadores”, a carga útil é projetada para roubar dados do Zimbra Webmail, como credenciais, e-mails, contatos e pastas compartilhadas.</p>
<p>StrikeReady diz que o código malicioso é implementado para ser executado no modo assíncrono e em váriasExpressões de Função Imediatamente Invocadas (IIFEs). Os pesquisadores descobriram que ele pode realizar as seguintes ações:</p>
<ul>
<li>Criarcampos de nome de usuário/senha ocultos</li>
<li>Roubar credenciais de formulários de login</li>
<li>Monitore a atividade do usuário (mouse e teclado) e faça logout de usuários inativos para acionar o roubo</li>
<li>UseZimbra SOAP API para pesquisar pastas e recuperar e-mails</li>
<li>Enviar conteúdo de e-mail para o invasor (repete a cada 4 horas)</li>
<li>Filtro Adda chamado “Correo” para encaminhar e-mails para um endereço Proton</li>
<li>Colete esses artefatos de autenticação/backup e exfiltre-os</li>
<li>Exfiltrarcontatos, listas de distribuição e pastas compartilhadas</li>
<li>Adda Atraso de 60 segundos antes da execução</li>
<li>Enforcea porta de execução de 3 dias (só é executada novamente se ≥3 dias desde a última execução)</li>
<li>Ocultar elementos da interface do usuário (UI) para reduzir pistas visuais</li>
</ul>
<p>O StrikeReady não pôde atribuir esse ataque com alta confiança a nenhum grupo de ameaças conhecido, mas observou que há um pequeno número de invasores que podem descobrir vulnerabilidades de dia zero em produtos amplamente usados, mencionando que um “grupo vinculado à Rússia é especialmente prolífico”.</p>
<p>Os pesquisadores também mencionaram que táticas, técnicas e procedimentos semelhantes (TTPs) foram observados em ataques atribuídos a UNC1151 – um grupo de ameaça que <a href="https://cloud.google.com/blog/topics/threat-intelligence/unc1151-linked-to-belarus-government/" rel="nofollow noopener" target="_blank">Mandiant ligado ao governo bielorrusso</a>.</p>
<p>O relatório da StrikeReady compartilha <a href="https://github.com/StrikeReady-Inc/research/tree/main/2025-09-29%20ics%200day" rel="nofollow noopener" target="_blank">Indicadores de comprometimento</a> e uma versão desofuscada do código JavaScript do ataque leveragin . INC arquivos de calendário.</p>
<p>O BleepingComputer entrou em contato com o Zimbra com perguntas sobre essa atividade e atualizaremos este post com sua declaração assim que a recebermos.</p>
<div>
<div>
<h2><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank">O Evento de Validação de Segurança do Ano: O Picus BAS Summit </a></h2>
<p>Junte-se ao <strong>Cúpula de Simulação de Violação e Ataque</strong> e experimente o <strong>Futuro da validação de segurança</strong>. Ouça os principais especialistas e veja como <strong>BAS alimentado por IA</strong> está transformando a simulação de violação e ataque.</p>
<p>Não perca o evento que moldará o futuro da sua estratégia de segurança</p>
</div>
</div>
</div>
</div></div>