Angreifer, die zu **APT28** gehören, einer staatlich unterstützten Bedrohungsgruppe, die mit dem russischen Militärgeheimdienst (GRU) in Verbindung steht, nutzen eine Schwachstelle in der **Zimbra Collaboration Suite (ZCS)** bei Angriffen auf ukrainische Regierungseinrichtungen aus. ### CVE-2025-66376: Eine XSS-Schwachstelle mit hoher Schweregrad Diese Sicherheitslücke mit hohem Schweregrad (verfolgt als **CVE-2025-66376** und Anfang November gepatcht) resultiert aus einer gespeicherten Cross-Site-Scripting (XSS)-Schwachstelle. Nicht authentifizierte Angreifer können sie ausnutzen, um Remote Code Execution (RCE) zu erlangen und den Zimbra-Server sowie das E-Mail-Konto des Ziels zu kompromittieren. ### CISA nimmt Schwachstelle in Katalog der bekannten ausgenutzten Schwachstellen auf Am Mittwoch hat die Cybersecurity and Infrastructure Security Agency (**CISA**) die Schwachstelle in ihren Katalog der in freier Wildbahn ausgenutzten Schwachstellen aufgenommen. CISA hat außerdem Bundesbehörden des zivilen Exekutivbereichs (FCEB) angewiesen, ihre Server innerhalb von zwei Wochen zu sichern, wie in der verbindlichen operativen Direktive (BOD) 22-01 vom November 2021 vorgeschrieben. ### Operation GhostMail zielt auf die Ukraine Während die US-Cybersicherheitsbehörde keine weiteren Details zur laufenden Ausnutzung von **CVE-2025-66376** lieferte, berichteten Sicherheitsforscher von **Seqrite Labs** am Vortag, dass die Zimbra XSS-Schwachstelle von APT28-Militärhackern bei Angriffen gegen die Ukraine ausgenutzt worden sei. Die ukrainische Staatliche Hydrographische Agentur (eine kritische Infrastruktureinrichtung des Ministeriums für Infrastruktur, die Navigations-, See- und hydrographische Unterstützung leistet) war eines der Ziele dieser Phishing-Kampagne (genannt Operation GhostMail). "Die Phishing-E-Mail enthält keine bösartigen Anhänge, keine verdächtigen Links, keine Makros. Die gesamte Angriffskette befindet sich im HTML-Body einer einzelnen E-Mail, es gibt keine bösartigen Anhänge", so Seqrite Labs.  ### Angriffsdetails Die bösartigen Nachrichten der **APT28** (auch bekannt als Fancy Bear, Strontium) Hacker lieferten eine obfuskierte JavaScript-Payload, die die **CVE-2025-66376**-Schwachstelle ausnutzt, wenn der Empfänger die E-Mail in einer anfälligen Zimbra Webmail-Sitzung öffnet. "Das Skript wird lautlos im Browser ausgeführt und beginnt mit dem Sammeln von Anmeldeinformationen, Sitzungstoken, Backup 2FA-Codes, im Browser gespeicherten Passwörtern und dem Inhalt des Postfachs des Opfers der letzten 90 Tage, wobei alle Daten sowohl über DNS als auch über HTTPS exfiltriert werden", fügten die Forscher hinzu. ### Zimbra: Ein häufiges Ziel Zimbra-Sicherheitslücken sind häufig Ziel von Angriffen, auch von russischen staatlich unterstützten Bedrohungsgruppen, und wurden in den letzten Jahren zum Einbruch in Tausende von anfälligen E-Mail-Servern genutzt. So nutzte beispielsweise ab Februar 2023 die russische Cyber-Spionagegruppe Winter Vivern einen weiteren reflektierten XSS-Exploit, um Zimbra-Webmail-Portale zu kompromittieren und die Kommunikation von NATO-nahen Organisationen und Personen, darunter Regierungsbeamte, Militärpersonal und Diplomaten, auszuspionieren. Im Oktober 2024 warnten US-amerikanische und britische Cyber-Agenturen außerdem, dass **APT29** (auch bekannt als Cozy Bear, Midnight Blizzard) Hacker, die mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung stehen, Zimbra-Server "in großem Umfang" angreifen und eine Schwachstelle ausnutzen, die zuvor zum Diebstahl von E-Mail-Konten-Anmeldeinformationen verwendet wurde. Zimbra ist eine weit verbreitete E-Mail- und Kollaborationssoftware-Suite, die von Hunderten von Millionen Menschen genutzt wird, darunter Hunderte von Regierungsbehörden und Tausende von Unternehmen weltweit.