【安全资讯】俄罗斯APT28黑客利用Zimbra漏洞攻击乌克兰政府机构

概要：

近期，俄罗斯军方情报部门支持的APT28黑客组织利用Zimbra协作套件（ZCS）中的一个高危漏洞，对乌克兰政府实体发起网络攻击。这一漏洞（CVE-2025-66376）允许攻击者通过钓鱼邮件远程执行代码，窃取敏感信息，凸显了关键基础设施和政府部门面临的持续网络威胁。

主要内容：

此次攻击的核心是利用了Zimbra Collaboration Suite中一个已修补的存储型跨站脚本（XSS）漏洞CVE-2025-66376。攻击者通过发送精心构造的钓鱼邮件，在收件人使用存在漏洞的Zimbra网页邮件会话打开邮件时，触发其中混淆的JavaScript载荷。该载荷无需任何恶意附件或可疑链接，即可在浏览器中静默执行。

攻击成功执行后，恶意脚本会开始窃取受害者的登录凭证、会话令牌、备份双因素认证（2FA）代码、浏览器保存的密码，并获取受害者邮箱中过去90天的所有邮件内容。所有窃取的数据通过DNS和HTTPS协议外传至攻击者控制的服务器。乌克兰国家水文局（一个提供导航、海事和水文支持的关键基础设施实体）是此次名为“Operation GhostMail”钓鱼活动的已知目标之一。

Zimbra作为全球广泛使用的电子邮件和协作软件，被数百万用户及众多政府机构和企业使用，使其成为具有吸引力的攻击目标。历史记录显示，包括APT28、Winter Vivern和APT29在内的多个俄罗斯背景的黑客组织都曾频繁利用Zimbra的各种漏洞发起大规模攻击，以进行网络间谍活动。

美国网络安全和基础设施安全局（CISA）已将此漏洞列入其野外利用漏洞目录，并依据相关指令，要求联邦文职行政机构在两周内修复其服务器。此次事件再次表明，即使漏洞已被公开披露和修补，滞后的补丁管理仍会使关键系统暴露在高级持续性威胁（APT）攻击之下，对国家安全和数据隐私构成严重风险。