Redazione RHC : 6 Ottobre 2025 13:04
I ricercatori di StrikeReady hanno identificato una serie di attacchi mirati in cui gli aggressori hanno sfruttato una vulnerabilità zero-day in Zimbra Collaboration Suite (ZCS), una popolare piattaforma di posta elettronica open source utilizzata da numerose agenzie governative e aziende in tutto il mondo.
La vulnerabilità, identificata come CVE-2025-27915, è una vulnerabilità XSS causata da un filtraggio insufficiente dei contenuti HTML nei file di calendario .ICS. Di conseguenza, un aggressore potrebbe iniettare codice JavaScript dannoso ed eseguirlo nel contesto della sessione dell’utente.
I file ICS, noti anche come iCalendar, vengono utilizzati per archiviare dati di eventi, riunioni e attività e sono ampiamente utilizzati per condividere pianificazioni tra diverse applicazioni. Questo formato è stato scelto dagli aggressori per implementare il loro exploit: un’e-mail dannosa, camuffata da messaggio ufficiale del Dipartimento di Protocollo della Marina libica, conteneva un file ICS di circa 100 KB, contenente un frammento JavaScript crittografato . Il codice era codificato in Base64 e si attivava all’apertura dell’allegato.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Secondo StrikeReady, l’attacco ha preso di mira un’organizzazione militare in Brasile ed è iniziato all’inizio di gennaio, ben prima del rilascio della patch. Zimbra ha corretto la vulnerabilità solo il 27 gennaio, rilasciando gli aggiornamenti ZCS 9.0.0 P44, 10.0.13 e 10.1.5. Tuttavia, la notifica ufficiale non menzionava alcuno sfruttamento attivo della vulnerabilità, rendendo la scoperta di StrikeReady particolarmente significativa.
Dopo aver decifrato il codice JavaScript, gli esperti hanno stabilito che lo script era stato progettato con cura per rubare dati da Zimbra Webmail: login, password, rubrica, email e cartelle pubbliche. Lo script utilizzava l’esecuzione asincrona e una serie di funzioni IIFE per garantire furtività e multithreading. Tra le azioni identificate c’erano la creazione di campi nascosti per rubare le credenziali, il monitoraggio dell’attività dell’utente seguito da un logout forzato per reintercettare l’accesso, l’accesso all’API SOAP di Zimbra per cercare e recuperare i messaggi, l’inoltro dei contenuti ogni quattro ore e l’aggiunta di un filtro denominato “Correo” che reindirizzava le email all’indirizzo Proton degli aggressori.
Inoltre, il malware raccoglieva artefatti di autenticazione e backup, esportava elenchi di contatti e risorse condivise, mascherava elementi dell’interfaccia per evitare sospetti e implementava un avvio ritardato di 60 secondi prima dell’esecuzione e una limitazione alla riesecuzione a non più di una volta ogni tre giorni. Questa struttura ha permesso all’attività dannosa di rimanere praticamente inosservata per lunghi periodi.
Gli esperti non sono stati in grado di attribuire con certezza l’attacco a un gruppo specifico, ma hanno osservato che questo livello di sviluppo di exploit è tipico di un gruppo molto ristretto di autori dotati delle risorse necessarie per individuare vulnerabilità zero-day. Il rapporto ha inoltre rilevato somiglianze tra i metodi utilizzati e quelli precedentemente utilizzati dal gruppo UNC1151.
StrikeReady ha pubblicato indicatori dettagliati di compromissione e ha decifrato il codice exploit che utilizzava il formato .ICS come canale di distribuzione. L’azienda sottolinea che tali attacchi sono difficili da rilevare utilizzando strumenti standard, poiché gli allegati del calendario sono tradizionalmente considerati sicuri e non destano sospetti nei sistemi di filtraggio. L’incidente ha dimostrato che anche formati apparentemente innocui possono fungere da efficace vettore di distribuzione di codice dannoso se la convalida dei contenuti lato server è inadeguata.
RedazioneUn’indagine condotta dall’Unione Europea di Radiodiffusione (EBU), con il supporto della BBC, ha messo in luce che i chatbot più popolari tendono a distorcere le notizie, modificandone il senso, ...
Spesso abbiamo citato questa frase: “Combattere il cybercrime è come estirpare le erbacce: se non le estirpi completamente rinasceranno, molto più vigorose di prima” e mai come ora risulta esser...
Per tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
Lunedì 20 ottobre, Channel 4 ha trasmesso un documentario completo condotto da un presentatore televisivo creativo integralmente dall’intelligenza artificiale. “Non sono reale. Per la prima volta...
