ロシア軍情報サービス（GRU）と関連付けられている国家支援型脅威グループであるAPT28の攻撃者は、ウクライナ政府機関を標的とした攻撃でZimbra Collaboration Suite (ZCS) の脆弱性を悪用しています。 ### CVE-2025-66376：高深刻度のXSS脆弱性 この高深刻度のセキュリティ脆弱性（CVE-2025-66376として追跡され、11月初旬に修正済み）は、保存型クロスサイトスクリプティング（XSS）脆弱性に起因します。認証されていない攻撃者は、これを悪用してリモートコード実行（RCE）を達成し、Zimbraサーバーと標的のメールアカウントを侵害することができます。 ### CISA、脆弱性を既知の悪用済み脆弱性カタログに追加 水曜日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、この脆弱性を実世界で悪用されている脆弱性のカタログに追加しました。CISAはまた、2021年11月に発行されたBinding Operational Directive (BOD) 22-01に基づき、連邦民間執行機関（FCEB）に対し、2週間以内にサーバーを保護するよう命じました。 ### オペレーションGhostMail、ウクライナを標的に 米国のサイバーセキュリティ機関は、CVE-2025-66376の継続的な悪用に関する詳細を提供しませんでしたが、Seqrite Labsのセキュリティ研究者は前日に、ZimbraのXSS脆弱性がAPT28の軍事ハッカーによってウクライナへの攻撃で悪用されていたと報告しました。 ウクライナ国家水路庁（インフラ省傘下の重要なインフラ機関で、航海、海上、水路支援を提供）は、このフィッシングキャンペーン（オペレーションGhostMailと命名）の標的の一つでした。 Seqrite Labsは、「フィッシングメールには悪意のある添付ファイル、不審なリンク、マクロはありません。攻撃チェーン全体は、単一のメールのHTML本文内に存在し、悪意のある添付ファイルはありません」と述べています。  ### 攻撃の詳細 APT28（別名Fancy Bear, Strontium）のハッカーによる悪意のあるメッセージは、難読化されたJavaScript payloadを配信し、受信者が脆弱なZimbra webmailセッションでメールを開くとCVE-2025-66376の脆弱性を悪用します。 研究者たちは、「スクリプトはブラウザでサイレントに実行され、認証情報、セッショントークン、バックアップ2FAコード、ブラウザに保存されたパスワード、および過去90日間の受信トレイの内容を収集し始め、すべてのデータはDNSとHTTPSの両方を通じて流出します」と付け加えています。 ### Zimbra：頻繁な標的 Zimbraのセキュリティ脆弱性は、ロシアの国家支援型脅威グループを含む攻撃で頻繁に標的とされており、近年、数千の脆弱なメールサーバー侵害に使用されています。 例えば、2023年2月以降、ロシアのWinter Vivernサイバースパイグループは、別の反射型XSS exploitを使用してZimbra webmailポータルを侵害し、政府関係者、軍関係者、外交官を含むNATO同盟組織や個人の通信をスパイしていました。 2024年10月には、米国と英国のサイバー機関も、ロシア対外情報庁（SVR）と関連付けられているAPT29（別名Cozy Bear, Midnight Blizzard）のハッカーが、過去にメールアカウントの認証情報を盗むために使用された脆弱性を悪用し、「大規模に」脆弱なZimbraサーバーを攻撃していると警告しました。 Zimbraは、世界中の何億人もの人々、および何百もの政府機関や数千の企業によって使用されている、非常に人気のあるメールおよびコラボレーションソフトウェアスイートです。