Atacantes que fazem parte do **APT28**, um grupo de ameaças patrocinado pelo estado e ligado ao serviço de inteligência militar da Rússia (GRU), estão explorando uma vulnerabilidade no **Zimbra Collaboration Suite (ZCS)** em ataques direcionados a entidades do governo ucraniano. ### CVE-2025-66376: Uma Falha XSS de Alta Severidade Esta falha de segurança de alta severidade (rastreada como **CVE-2025-66376** e corrigida no início de novembro) decorre de uma vulnerabilidade de cross-site scripting (XSS) armazenada. Atacantes não autenticados podem explorá-la para obter execução remota de código (RCE) e comprometer o servidor Zimbra e a conta de e-mail do alvo. ### CISA Adiciona Vulnerabilidade ao Catálogo de Vulnerabilidades Exploradas Conhecidas Na quarta-feira, a Agência de Segurança Cibernética e Infraestrutura (**CISA**) adicionou a vulnerabilidade ao seu catálogo de vulnerabilidades exploradas em campo. A CISA também ordenou que as agências do Federal Civilian Executive Branch (FCEB) protegessem seus servidores em duas semanas, conforme determinado pela Binding Operational Directive (BOD) 22-01 emitida em novembro de 2021. ### Operação GhostMail Visa a Ucrânia Embora a agência de segurança cibernética dos EUA não tenha fornecido detalhes adicionais sobre a exploração em andamento da **CVE-2025-66376**, pesquisadores de segurança da **Seqrite Labs** relataram um dia antes que a vulnerabilidade XSS do Zimbra havia sido explorada por hackers militares do APT28 em ataques contra a Ucrânia. A Agência Estatal de Hidrologia da Ucrânia (uma entidade de infraestrutura crítica sob o Ministério da Infraestrutura que fornece suporte de navegação, marítimo e hidrográfico) foi um dos alvos desta campanha de phishing (nomeada Operação GhostMail). "O e-mail de phishing não possui anexos maliciosos, links suspeitos ou macros. Toda a cadeia de ataque reside dentro do corpo HTML de um único e-mail, não há anexos maliciosos", disse a Seqrite Labs.  ### Detalhes do Ataque As mensagens maliciosas dos hackers do **APT28** (também conhecido como Fancy Bear, Strontium) entregaram um payload JavaScript ofuscado que explora a vulnerabilidade **CVE-2025-66376** quando o destinatário abre o e-mail em uma sessão vulnerável do webmail Zimbra. "O script é executado silenciosamente no navegador e começa a coletar credenciais, tokens de sessão, códigos de backup de 2FA, senhas salvas no navegador e o conteúdo da caixa de correio da vítima dos últimos 90 dias, com todos os dados exfiltrados via DNS e HTTPS", acrescentaram os pesquisadores. ### Zimbra: Um Alvo Frequente Falhas de segurança no Zimbra são frequentemente alvos de ataques, incluindo por grupos de ameaças patrocinados pelo estado russo, e foram usadas para invadir milhares de servidores de e-mail vulneráveis nos últimos anos. Por exemplo, a partir de fevereiro de 2023, o grupo russo de ciberespionagem Winter Vivern usou outro exploit XSS refletido para invadir portais de webmail Zimbra e espionar as comunicações de organizações e indivíduos alinhados à OTAN, incluindo funcionários do governo, pessoal militar e diplomatas. Em outubro de 2024, agências cibernéticas dos EUA e do Reino Unido também alertaram que hackers do **APT29** (também conhecido como Cozy Bear, Midnight Blizzard) ligados ao Serviço de Inteligência Estrangeira da Rússia (SVR) estavam atacando servidores Zimbra vulneráveis "em larga escala", explorando uma vulnerabilidade usada anteriormente para roubar credenciais de contas de e-mail. O Zimbra é um pacote de software de e-mail e colaboração amplamente popular, usado por centenas de milhões de pessoas, incluindo centenas de agências governamentais e milhares de empresas em todo o mundo.