Атаки на украинские госструктуры через Zimbra связывают с Россией
Атаки на украинские государственные структуры через уязвимость в Zimbra приписывают группе APT28, которую исследователи считают связанной с Россией. Эксплуатация XSS-ошибки позволяет выполнять вредоносный код прямо в теле письма и перехватывать учетные данные без вложений и ссылок, обходя традиционные средства защиты.
Эксплуатация уязвимости CVE-2025-66376 в Zimbra Collaboration стала основой этой кампании. Речь идет о XSS-ошибке, которая позволяет внедрять вредоносный код непосредственно в HTML-содержимое письма и запускать его при открытии сообщения в веб-интерфейсе почты.
Кампания направлена как минимум против Государственной гидрографической службы Украины — организации, обеспечивающей навигацию и связанные с ней функции в составе критической инфраструктуры страны.
Ключевая особенность атаки — отказ от традиционных приемов фишинга. Вредоносная нагрузка не доставляется через вложения или ссылки: весь эксплойт встроен непосредственно в тело письма. В частности, одно из сообщений выглядело как обычный запрос о стажировке на украинском языке и не содержало явных признаков компрометации.
После открытия письма в активной сессии Zimbra встроенный JavaScript выполняется в браузере и начинает сбор данных. Перехватываются учетные данные, токены сессий, резервные коды двухфакторной аутентификации, сохраненные пароли, а также содержимое почтового ящика за период до 90 дней.
Технически атака использует недостаточную фильтрацию CSS и HTML в почтовом клиенте: злоумышленники могут подключать внешние ресурсы через директивы @import или внедрять inline-скрипты, которые исполняются при просмотре письма. Это создает условия как для кражи данных, так и для удаленного выполнения кода в контексте почтовой сессии.
Кампания получила название Operation GhostMail и с умеренной степенью уверенности связывается с группой APT28, ассоциируемой с Россией. Группа известна атаками на государственные организации, оборонные структуры и логистические системы.
Дополнительным фактором риска стало то, что уязвимость уже активно используется в атаках: CVE-2025-66376 включена в каталог Known Exploited Vulnerabilities агентства CISA, а организациям рекомендовано в сжатые сроки установить обновления.
Zimbra остается одной из регулярных целей для атакующих, включая группы, ассоциируемые с Россией. Уязвимости в этой платформе ранее применялись для компрометации почтовых серверов и проведения кибершпионских операций против организаций в Европе и странах НАТО.
В данной кампании сочетание доверенной среды (веб-почта), отсутствия вложений и выполнения кода непосредственно в браузере позволяет обходить многие традиционные механизмы защиты, включая фильтрацию вложений и антивирусный контроль.
Читайте также
