최근 최소 4개의 개별 사이버 위협 행위자 그룹이 널리 사용되는 Zimbra Collaboration Suite(ZCS)의 이전 제로데이 취약점을 활용한 공격이 이루어지고 있다는 것이 확인됐다.

CVE-2023-37580으로 확인된 이 보안 취약점은 Zimbra(짐브라) 이메일 서버에 반영된 크로스 사이트 스크립팅(XSS) 취약점이다. 이메일, 캘린더, 채팅 및 비디오 서비스를 제공하는 플랫폼인 Zimbra는 전 세계 권위 있는 기관을 포함해 전 세계 수많은 기업에서 수억이 사용하고 있다.

이 취약점은 구글의 위협 분석 그룹(TAG)에 의해 처음 발견되었으며, 지난 7월 25일 패치가 배포되기 전인 6월에 이미 익스플로잇이 시작된 것으로 밝혀졌다. 7월 5일에 Zimbra의 공개 깃허브 저장소에 핫픽스가 배포되었다. 제로데이 공격은 정부 기관을 표적으로 삼아 민감한 메일 데이터, 사용자 자격 증명, 인증 토큰을 탈취하는 것을 목표로 했다.

이 취약점을 악용한 공격으로는 그리스 정부기관, 몰도바와 튀니지 표적공격, 베트남 정부기관 공격, 파키스탄 정부기관 공격 등이 확인됐다.

초기 익스플로잇 기법에는 익스플로잇 URL이 포함된 이메일을 의도한 표적에 보내는 것이 포함되었다. 수신자가 짐브라 세션에 로그인한 상태에서 링크를 클릭하면 프레임워크가 로드되어 사용자 이메일과 첨부파일을 탈취했다. 또한 공격자는 자동 전달 규칙을 구성해 탈취한 정보를 위협 행위자가 제어하는 이메일 주소로 리디렉션했다.

7월 11일부터 2주에 걸쳐 진행된 윈터 바이번 캠페인은 특히 몰도바와 튀니지의 정부 기관을 표적으로 삼았다. 특정 조직에 맞춤화되고 고유한 공식 이메일 주소가 포함된 여러 익스플로잇 URL이 확인되었다.

미확인 그룹으로 추정되는 또 다른 캠페인은 베트남의 한 정부 기관을 대상으로 피싱 공격을 수행했다. 이 경우 익스플로잇 URL은 웹메일 자격 증명을 캡처하도록 설계된 피싱 페이지를 표시하는 스크립트로 사용자를 안내했다. 탈취한 인증정보는 공격자가 유출했을 가능성이 있는 공식 정부 도메인에 호스팅된 URL에 게시되었다.

네 번째 캠페인에서는 파키스탄의 한 정부 기관에서 짐브라 인증 토큰을 훔치기 위해 익스플로잇을 사용했다.

메일 서버에 보안 수정 사항을 즉시 적용하는 것이 매우 중요하다. 메일 서버의 취약점을 악용하는 것은 지속적으로 주의해야 한다. 조직이 취약점을 우선적으로 패치하고 특히 메일 서버 애플리케이션의 XSS 취약점에 대해 철저한 코드 감사를 수행해야 할 필요성이 대두되고 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★