Phần lớn các chiến dịch này đều diễn ra sau khi bản vá ban đầu được công bố trên GitHub.
Lỗ hổng an toàn thông tin với mã CVE-2023-37580 (Điểm CVSS: 6.1) là một lỗ hổng XSS gây ảnh hưởng tới các phiên bản cũ hơn 8.8.15 Patch 41. Bản vá cho lỗ hổng này đã được Zimbra phát hành vào ngày 25/07/2023.
Việc khai thác thành công lỗ hổng cho phép đối tượng tấn công thực thi các đoạn script độc hại trên trình duyệt người dùng, thông qua việc lừa người dùng bấm vào một đường dẫn URL được thiết kế để thực thi một yêu cầu XSS tới Zimbra, kết quả của việc khai thác này được phản hồi về cho người dùng.
Theo phát hiện từ các chuyên gia các chiến dịch này đã diễn ra kể từ ngày 29/6/2023, 2 tuần trước khi Zimbra đưa ra cảnh báo cho người dùng. Ba trong số bốn chiến dịch được phát hiện đã được thực hiện từ trước khi có bản vá, chiến dịch còn lại diễn ra sau khi bản vá được phát hành.
Chiến dịch đầu tiên được ghi nhận có mục tiêu là các tổ chức chính phủ tại Hy Lạp, gửi đi các email có chứa URL khai thác tới người dùng, sau khi nhấn vào đường dẫn sẽ triển khai mã độc đánh cắp email đã từng được sử dụng trong chiến dịch EmailThief hồi tháng 02/2022.
Bộ xâm nhập với mã định danh TEMP_HERETIC này cũng có khả năng khai thác lỗ hổng zero-day trên Zimbra để triển khai tấn công.
Đối tượng tấn công thứ hai khai thác CVE-2023-37580 là Winter Vivern, nhằm vào các tổ chức chính phủ tại Moldova và Tunisia sau khi bản vá cho lỗ hổng này được phát hành trên GitHub.
Đáng chú ý rằng, nhóm đối tượng này cũng có liên quan tới việc khai thác các lỗ hổng an toàn thông tin trên Roundcube vào đầu năm nay.
Đối tượng thứ ba đã khai thác lỗ hổng này vào ngày 25/06 để lừa đảo chiếm đoạt thông tin đăng nhập của tổ chức chính phủ tại Việt Nam. Đối với trường hợp này, URL khai thác chỉ tới một đoạn script hiển thị ra website lừa đảo để lấy thông tin xác thực webmail của người dùng và đăng tải thông tin này lên một URL lưu trữ trên domain của chính phủ mà kẻ tấn công đã xâm nhập từ trước đó.
Cuối cùng, một tổ chức chính phủ tới Pakistan đã bị ảnh hưởng bởi lỗ hổng an toàn thông tin này vào ngày 25/08, dẫn tới việc đánh cắp token xác thực trên Zimbra và truyền về domain độc hại dựng lên bởi đối tượng.
Một khuôn mẫu trong cả bốn chiến dịch này là đối tượng tấn công thường xuyên khai thác các lỗ hổng XSS trên máy chủ mail, qua đó cho thấy các ứng dụng này cần phải được kiểm tra kỹ lưỡng, đặc biệt là cho thấy tầm quan trọng của việc cập nhật bản vá mới nhất cho các máy chủ mail sớm nhất có thể.
Ngoài ra, cũng có thể nhận thấy rằng các đối tượng tấn công thường xuyên theo dõi các trang lưu trữ mã nguồn mở để tìm cơ hội khác thác lỗ hổng đã có bản vá được công bố trên các trang này nhưng lại chưa được phát hành cho người dùng thông thường.