俄罗斯APT组织利用Zimbra XSS漏洞CVE-2025-66376攻击乌克兰

与俄罗斯有关联的威胁组织利用了 Zimbra Collaboration 中一个高危 XSS 漏洞（编号CVE-2025-66376，CVSS 评分 7.2）。攻击者利用未经充分清理的 HTML 电子邮件，在用户打开邮件时运行脚本，攻击目标为乌克兰用户。

该漏洞是经典用户界面中的一个存储型跨站脚本攻击 (XSS) 漏洞，攻击者可以利用该漏洞滥用电子邮件 HTML 中的 CSS @import 指令。攻击者可以利用此漏洞控制用户的电子邮件帐户，并危及整个 Zimbra 环境。

Synacor 通过发布 Zimbra 版本 10.1.13 和 10.0.18 解决了该缺陷。

据网络安全公司Seqrite Labs称，一个与俄罗斯有关联的APT组织（很可能是APT28 ，又名UAC-0001、 Fancy Bear、 Pawn Storm、 Sofacy Group、 Sednit、BlueDelta和 STRONTIUM）利用Zimbra漏洞攻击了乌克兰境内的实体。

攻击者在钓鱼邮件中使用JavaScript，悄无声息地窃取了用户的凭证、会话令牌、双因素认证码、已保存的密码以及90天的邮箱数据。然后，他们通过DNS和HTTPS协议泄露了窃取的数据。

Seqrite Labs发布的报告指出：“攻击者利用社交工程手段发送实习申请邮件，并在邮件正文中嵌入混淆的JavaScript恶意代码。当受害者在存在漏洞的Zimbra网页邮件会话中打开该邮件时，攻击者会利用 CVE-2025-66376漏洞。 该漏洞是一个存储型跨站脚本攻击（XSS）漏洞，由HTML内容中CSS @import指令的清理不充分引起。”

报告还指出：“基于与Zimbra漏洞利用的技术重叠以及地缘政治目标一致性，我们有一定把握地评估认为，此次攻击活动与之前记录的 俄罗斯国家支持的 、针对乌克兰政府机构的入侵攻击手法相符。我们已将此情况报告给CERT-UA。”

1月22日，一家国家海事机构遭到攻击，攻击者使用了一个被盗用的学生邮箱。Seqrite Labs将此次攻击活动追踪并命名为“幽灵邮件行动”（Operation GhostMail）。

一封钓鱼邮件以乌克兰国家水文局（关键基础设施的一部分）为目标，利用被盗用的学生账户伪装成合法邮件。该邮件在HTML正文中隐藏了恶意JavaScript代码，利用了Zimbra的跨站脚本攻击漏洞（CVE-2025-66376）。

报告还指出：“基于与Zimbra漏洞利用的技术重叠以及地缘政治目标一致性，我们有一定把握地评估认为，此次攻击活动与之前记录的俄罗斯支持的 、针对乌克兰政府机构的入侵攻击手法相符。我们已将此情况报告给CERT-UA。”

一旦打开，该程序便会在用户会话中执行，窃取凭据、令牌、电子邮件和双因素身份验证 (2FA) 数据。该多阶段有效载荷利用 SOAP 请求、DNS 和 HTTPS 数据窃取，并启用持久访问，使攻击者能够监控帐户并提取长达 90 天的电子邮件。

该网络钓鱼活动的 C2 基础设施于 2026 年 1 月 20 日建立，使用了两个域名：

js-l1wt597cimk[.]i[.]zimbrasoft[.]com[.]ua

js-26tik3egye4[.]i[.]zimbrasoft[.]com[.]ua

历史模式显示，俄罗斯高级持续性威胁组织（APT）如Fancy Bear (APT28)、Cozy Bear (APT29)和Winter Vivern (TA473)曾以Zimbra为攻击目标，但此次攻击有所不同，它利用了需要用户交互的HTML电子邮件跨站脚本攻击（XSS）载荷，并结合了双通道数据窃取和结构化SOAP API滥用。

基于攻击目标和载荷与SpyPress.ZIMBRA的相似性，我们以中等置信度将“幽灵邮件行动”（Operation GhostMail）归因于APT28。

报告总结道：“针对乌克兰政府机构的网络攻击与该地区公共部门机构持续遭受的地缘政治网络攻击活动相符。虽然要最终确定攻击来源还需要进一步的基础设施或代码重叠验证，但所使用的技术与此前记录在案的俄罗斯国家支持的组织利用东欧网络邮件平台进行攻击的技术一致。”

周三，美国网络安全和基础设施安全局 (CISA) 将漏洞 CVE-2025-66376添加 到其已知利用漏洞目录中，并命令联邦机构在 2026 年 4 月 1 日之前解决该漏洞。

报告全文：

《“幽灵邮件行动”：俄罗斯APT组织利用Zimbra网络邮件攻击乌克兰国家机构》