«Русских хакеров» обвинили в атаках на украинские правительственные организации через уязвимость Zimbra
Изображение: recraft
Хакерская группировка APT28, которая, по мнению западных спецслужб, якобы связана с российской военной разведкой, взломала несколько украинских государственных структур через уязвимость в почтовой системе Zimbra. Инструментом атаки стали обычные электронные письма.
В основе атаки — уязвимость с номером CVE-2025-66376. Её устранили ещё в начале ноября, но злоумышленники успели взять её на вооружение. Суть проблемы в том, что в почтовый сервер можно внедрить вредоносный код, который затем выполняется удалённо. Страдает и сама система, и все, кто в ней работает.
Американское агентство по кибербезопасности CISA внесло уязвимость в список тех, что уже активно используются в реальных атаках, и дало государственным ведомствам две недели на установку обновлений. Детали конкретных инцидентов агентство не раскрыло — что, впрочем, только раззадорило исследователей.
Исследовательская компания Seqrite Labs описала, как именно работает атака. Злоумышленники придумали изящный способ — никаких подозрительных вложений, никаких странных ссылок. Вредоносный код спрятан прямо внутри самого письма в виде HTML. Достаточно открыть сообщение в браузере — и всё уже началось.
Внутри письма сидит замаскированный JavaScript. Он запускается прямо в браузере, когда человек открывает веб-версию Zimbra, и начинает тихо собирать всё ценное (логины, пароли, активные токены сессий, резервные коды от двухфакторной защиты и переписку за последние три месяца). Данные утекают сразу двумя путями — через DNS и HTTPS.
Одной из жертв стала организация, отвечающая за гидрографию и навигацию в Украине. Кампания получила название GhostMail — один email фактически заменяет собой целый набор инструментов для взлома.
Zimbra давно стала любимой мишенью для хакеров — платформа широко распространена, и любая найденная в ней дыра быстро превращается в массовое оружие. Через похожие уязвимости раньше взламывали тысячи серверов по всему миру.
В 2023 году группировка Winter Vivern уже применяла схожую XSS-уязвимость, чтобы следить за перепиской структур, связанных с НАТО (чиновников, военных и дипломатов). В 2024 году специалисты из США и Великобритании зафиксировали похожую активность группы APT29 — она тоже использовала слабые места Zimbra для кражи почтовых данных.
