Rosyjska kampania APT wykorzystuje lukę XSS w Zimbra do ataków na Ukrainę

Wprowadzenie do problemu / definicja

CVE-2025-66376 to podatność typu stored cross-site scripting w platformie Zimbra Collaboration, obejmująca klasyczny interfejs webmail. Problem wynika z niewystarczającej sanitizacji treści HTML w wiadomościach e-mail, zwłaszcza w kontekście mechanizmu CSS @import, co umożliwia wykonanie złośliwego kodu JavaScript po otwarciu spreparowanej wiadomości przez ofiarę.

W praktyce taki scenariusz może prowadzić do przejęcia sesji użytkownika, kradzieży poświadczeń, tokenów uwierzytelniających oraz dostępu do zawartości skrzynki pocztowej. To szczególnie niebezpieczne w środowiskach administracyjnych i organizacjach o wysokiej wartości operacyjnej.

W skrócie

Opisana kampania została z umiarkowaną pewnością przypisana rosyjskiemu aktorowi APT i była wymierzona w podmioty na Ukrainie. Atak wykorzystywał wiadomości phishingowe osadzone bezpośrednio w treści HTML, bez potrzeby użycia załączników czy makr.

• Wektor wejścia stanowiła spreparowana wiadomość HTML otwierana w podatnej instancji Zimbry.
• Zaciemniony kod JavaScript pozyskiwał poświadczenia, tokeny sesyjne, kody 2FA, zapisane hasła oraz historię poczty.
• Producent udostępnił poprawki w wersjach 10.1.13 oraz 10.0.18.
• Podatność została uznana za aktywnie wykorzystywaną, co podnosi jej znaczenie operacyjne.

Kontekst / historia

Zimbra od lat znajduje się w obszarze zainteresowania grup szpiegowskich i operatorów APT. Platformy webmail są atrakcyjnym celem, ponieważ zapewniają dostęp nie tylko do samej korespondencji, ale również do relacji zaufania, danych kontaktowych, tokenów sesyjnych i materiałów o znaczeniu operacyjnym.

W analizowanej operacji zastosowano motyw socjotechniczny związany z zapytaniem o staż lub praktykę, co miało zwiększyć wiarygodność wiadomości. Według opublikowanych ustaleń celem były instytucje ukraińskie, w tym podmioty związane z administracją oraz infrastrukturą krytyczną. Kampania została opisana jako Operation GhostMail i wpisuje się w szerszy wzorzec działań cyberwywiadowczych wymierzonych w ukraiński sektor publiczny.

Analiza techniczna

Sednem problemu jest stored XSS w klasycznym interfejsie Zimbry. Napastnik przygotowuje wiadomość HTML zawierającą odpowiednio spreparowane elementy, które omijają mechanizmy oczyszczania treści i umożliwiają uruchomienie skryptu w kontekście aktywnej sesji zalogowanego użytkownika.

To istotne, ponieważ atak nie wymaga pobierania załącznika ani uruchamiania zewnętrznego pliku. Złośliwy kod aktywuje się bezpośrednio w kliencie webmail po wyświetleniu wiadomości, co znacząco zwiększa skuteczność kampanii i utrudnia jej wykrycie przez tradycyjne narzędzia ochrony punktów końcowych.

W opisywanym scenariuszu skrypt realizował wieloetapowy łańcuch działań obejmujący:

• odczyt danych uwierzytelniających i aktywnych tokenów sesyjnych,
• pozyskiwanie danych związanych z uwierzytelnianiem wieloskładnikowym,
• dostęp do zapisanych haseł i danych skrzynki,
• pobieranie wiadomości z określonego przedziału czasowego,
• komunikację z infrastrukturą atakującego przez DNS i HTTPS,
• wykorzystanie żądań SOAP do interakcji z funkcjami pocztowymi i utrzymania dostępu.

Szczególnie istotne pozostaje użycie SOAP API, ponieważ pozwala ono automatyzować operacje na skrzynce pocztowej z poziomu już przejętej sesji. W efekcie napastnik może prowadzić działania wywiadowcze bez wdrażania klasycznego malware na stacji roboczej, nadużywając legalnych funkcji aplikacji.

Tego typu kampania jest trudniejsza do wykrycia niż standardowy phishing z załącznikiem. Ruch generowany przez przeglądarkę może wyglądać jak zwykła aktywność użytkownika, a artefakty bezpieczeństwa są znacznie mniej oczywiste niż w przypadku tradycyjnego złośliwego oprogramowania.

Konsekwencje / ryzyko

Ryzyko związane z CVE-2025-66376 należy uznać za wysokie. Choć atak wymaga interakcji użytkownika w postaci otwarcia wiadomości, skutki pojedynczej kompromitacji skrzynki mogą być bardzo poważne dla całej organizacji.

• wyciek poufnej korespondencji,
• kradzież danych operacyjnych i personalnych,
• przejęcie kont uprzywilejowanych lub współdzielonych,
• eskalacja dostępu przez reset haseł w innych systemach,
• prowadzenie wiarygodnych kampanii follow-on phishing,
• długotrwałe monitorowanie komunikacji organizacji.

Dodatkowym zagrożeniem jest możliwość dalszej kompromitacji środowiska pocztowego, jeżeli napastnik uzyska dostęp do zasobów administracyjnych lub wykorzysta przejęte konto do ruchu bocznego. W organizacjach, gdzie poczta jest centralnym kanałem obiegu informacji, taki incydent może przełożyć się na straty operacyjne, reputacyjne i wywiadowcze.

Rekomendacje

Najważniejszym krokiem jest niezwłoczna aktualizacja Zimbra Collaboration do wersji zawierających poprawki, czyli 10.1.13, 10.0.18 lub nowszych zgodnie z używaną linią produktową. Samo wdrożenie poprawek nie powinno jednak kończyć procesu reagowania.

• przeprowadzić przegląd logów webmail, serwera aplikacyjnego i systemów uwierzytelniania pod kątem nietypowych żądań SOAP,
• analizować wiadomości HTML zawierające podejrzane konstrukcje CSS i elementy mogące uruchamiać skrypty,
• sprawdzić anomalie w sesjach użytkowników, takie jak nietypowe adresy IP, niestandardowe godziny aktywności i nagłe eksporty danych,
• wymusić reset haseł oraz unieważnić aktywne sesje dla kont potencjalnie narażonych,
• zweryfikować integralność konfiguracji skrzynek, reguł przekazywania poczty i ustawień odzyskiwania kont,
• monitorować potencjalną eksfiltrację danych przez DNS i HTTPS,
• ograniczyć dostęp do interfejsu administracyjnego i paneli webmail przez segmentację oraz listy dozwolonych adresów,
• wdrożyć dodatkowe kontrole detekcyjne dla phishingu HTML i nadużyć sesji przeglądarkowych.

W środowiskach przez cały czas korzystających z klasycznego interfejsu warto również rozważyć czasowe ograniczenie jego użycia oraz przeprowadzenie polowania na zagrożenia pod kątem podobnych kampanii wymierzonych w administrację, działy prawne, HR i operatorów infrastruktury krytycznej.

Podsumowanie

Incydent związany z CVE-2025-66376 pokazuje, iż webmail pozostaje istotnym wektorem operacji cyberwywiadowczych. Stored XSS w Zimbra umożliwia wykonanie kodu w kontekście legalnej sesji ofiary, co zwiększa skuteczność kradzieży danych i jednocześnie utrudnia detekcję.

Połączenie socjotechniki, nadużycia HTML e-mail, wykorzystania SOAP API oraz cichej eksfiltracji danych czyni z tej kampanii przykład dojrzałej operacji APT. Dla organizacji korzystających z Zimbry oznacza to konieczność pilnego łatania, aktywnego monitorowania sesji użytkowników oraz traktowania systemu pocztowego jako zasobu o krytycznym znaczeniu bezpieczeństwa.

Źródła

1. Security Affairs — https://securityaffairs.com/189673/security/russian-apt-targets-ukraine-via-zimbra-xss-flaw-cve-2025-66376.html
2. NVD CVE-2025-66376 — https://nvd.nist.gov/vuln/detail/CVE-2025-66376
3. Seqrite Labs — Operation GhostMail — https://www.seqrite.com/blog/operation-ghostmail-apt28s-latest-espionage-campaign-exploits-zimbra-xss-vulnerability-cve-2025-66376/
4. CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
5. Zimbra Collaboration Release Notes — https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.13#Security_Fixes