Държавно подкрепената група APT28, свързвана с руското военно разузнаване ГРУ, провежда активна кампания срещу украински правителствени структури, използвайки критична уязвимост в Zimbra Collaboration Suite.

Уязвимостта, проследявана като CVE-2025-66376, представлява stored cross-site scripting (XSS) слабост, която позволява на неавтентикирани атакуващи да постигнат дистанционно изпълнение на код (RCE) и пълен компромис на имейл сървъра.

Особеното в тази атака е, че не използва традиционни индикатори за компрометиране:

• Няма зловредни прикачени файлове

• Няма подозрителни линкове

• Няма макроси

Цялата атака се съдържа в HTML тялото на един имейл, което значително затруднява откриването.

Operation GhostMail: тиха ексфилтрация чрез браузъра

Кампанията, известна като Operation GhostMail, използва обфускиран JavaScript код, който се изпълнява автоматично при отваряне на съобщението в уязвима Zimbra webmail сесия.

След активиране, скриптът:

• Извлича потребителски идентификационни данни

• Краде session токени и backup 2FA кодове

• Достъпва запазени пароли в браузъра

• Експортира съдържанието на пощата за последните 90 дни

Данните се ексфилтрират през:

• DNS заявки

• HTTPS комуникация

Тази комбинация позволява прикрито изтичане на информация без лесно засичане от традиционни защитни механизми.

Реални цели: критична инфраструктура и държавни агенции

Сред идентифицираните цели е украинската Държавна хидрографска служба – ключова структура, отговорна за навигационна и морска инфраструктура.

Това потвърждава, че атаката е част от по-широка стратегия за кибершпионаж, насочена към:

• Държавни институции

• Военни структури

• Критична инфраструктура

Реакция на CISA: уязвимостта вече се експлоатира активно

Американската агенция CISA официално добави CVE-2025-66376 към каталога с уязвимости, експлоатирани в реални атаки.

Освен това, CISA задължи федералните агенции да:

• Защитят системите си в срок от 2 седмици

• Прилагат мерките, дефинирани в директивата BOD 22-01

Това подчертава сериозността на заплахата и непосредствения риск за правителствени и корпоративни среди.

Zimbra като постоянна мишена за руски групи

Zimbra отдавна е обект на интерес от страна на руски киберразузнавателни структури. В предходни кампании:

• Групата Winter Vivern използва XSS атаки срещу организации, свързани с НАТО

• APT29 (свързана със SVR) провежда масови атаки срещу Zimbra сървъри

Този модел показва систематично използване на уязвимости в пощенски платформи като стратегически инструмент за разузнаване.

Основният извод: имейлът отново е най-слабата точка

Атаката демонстрира тревожна тенденция:

Дори без класически зловреден код, един имейл може да компрометира цяла организация.

Причината е комбинацията от:

• Уязвимост в приложението

• Доверие към вътрешни комуникации

• Липса на видими индикатори

Как да се защитим

Организациите трябва да предприемат незабавни действия:

• Незабавно прилагане на всички налични пачове за Zimbra

• Ограничаване на достъпа до webmail интерфейса

• Мониторинг на необичайни DNS и HTTPS заявки

• Изолиране на сесии и токени при съмнение за компромис

• Повишено внимание към HTML-базирани имейл атаки

Ново поколение фишинг – без компромиси и без следи

Operation GhostMail показва еволюция към “fileless” и “linkless” атаки, при които самата комуникация се превръща в оръжие.

APT28 демонстрира, че модерният кибершпионаж разчита не на сложен malware, а на интелигентна експлоатация на доверие, софтуерни слабости и потребителско поведение.