【安全资讯】俄罗斯黑客利用Zimbra漏洞入侵乌克兰海事机构

概要：

近期，网络安全研究人员披露了一起针对乌克兰政府机构的复杂网络攻击事件。俄罗斯背景的国家级黑客组织APT28利用广泛使用的Zimbra网络邮件软件中的一个安全漏洞，对乌克兰国家水文局发起了一次隐蔽的钓鱼攻击。该机构负责海事导航等关键基础设施服务，此次事件凸显了网络攻击对关键国家职能部门的威胁。

主要内容：

此次攻击的核心在于利用了Zimbra软件中的一个跨站脚本漏洞，编号为CVE-2025-66376。攻击者并未采用传统的恶意附件或链接，而是将恶意代码直接嵌入一封看似普通的乌克兰语实习咨询邮件的HTML正文中。当受害者在活跃的Zimbra会话中查看这封邮件时，恶意代码便在其浏览器中静默执行。

这种攻击方式极具欺骗性。由于整个攻击链都包含在单封邮件内，不依赖外部资源，因此能够绕过许多基于附件或链接检测的传统安全防御机制。攻击成功利用了用户对常用且受信任的Zimbra邮件环境的依赖，实现了“无文件”攻击效果。

一旦代码执行，攻击者便能窃取受害者的登录凭证、会话令牌、备份的双因素认证码、浏览器保存的密码以及长达90天的邮箱数据。报告指出，这封恶意邮件于一月从一个疑似被入侵的学生账户发出，进一步增加了溯源难度。

此次攻击被归因于APT28组织，该组织与俄罗斯军事情报机构有关联，长期针对乌克兰及西方国家的政府实体、国防承包商和物流网络进行网络间谍活动。Zimbra软件此前也多次成为其他俄罗斯相关黑客组织（如APT29和Winter Vivern）的攻击目标，表明此类漏洞已成为针对东欧机构进行间谍活动的重要利用点。