ロシア国家が支援するハッカーグループが、広く使われているZimbraウェブメールソフトウェアの脆弱性を利用したステルス的なフィッシングキャンペーンを使用して、ウクライナの政府機関をターゲットにしたとのことです。
この作戦はロシアの軍事情報機関に関連していると考えられるFancy Bearとしても知られるAPT28に中程度の確信度で属するとされており、海の航行および他の重要インフラサービスに役割を果たすウクライナの国家水路庁をターゲットにしました。
サイバーセキュリティ企業Seqriteの研究者は、攻撃者がCVE-2025-66376として追跡されているクロスサイトスクリプティングの欠陥を悪用し、Zimbraのブラウザベースのインターフェース経由で表示されたメールに直接悪意のあるコードを注入することを許可していると述べました。
従来のフィッシングキャンペーンとは異なり、この攻撃は悪意のある添付ファイルやリンクに依存していませんでした。代わりに、ウクライナ語で書かれた日常的なインターンシップの問い合わせに見えた単一のメールの本文に全体的なエクスプロイトが埋め込まれていました。
「フィッシングメールには悪意のある添付ファイル、疑わしいリンク、マクロはありません」と研究者は述べました。「攻撃チェーン全体は単一のメールのHTMLボディ内に存在します。」
アクティブなZimbraセッションで開かれると、悪意のあるコードは被害者のブラウザで静かに実行され、攻撃者はログイン認証情報、セッショントークン、バックアップの2要素認証コード、ブラウザに保存されたパスワード、および最大90日間のメールボックスデータを収集することができました。
悪意のあるメールは1月に侵害された学生アカウントであると思われるものから送信されました。ペイロードをメールに直接埋め込み、信頼されたウェブメール環境を悪用することで、攻撃者はマルウェアを配置することなく、または多くの従来のセキュリティ防御をトリガーすることなく、認証されたセッションをインターセプトすることができたとレポートは述べています。
APT28は、サイバースパイキャンペーンにおいて、ウクライナおよび西側の政府機関、防衛契約業者、およびロジスティクスネットワークをターゲットにする長い歴史があります。今月初め、研究者はまた、BadPawおよびMeowMeowとして知られている以前に文書化されていないマルウェア菌株を含むウクライナをターゲットにする別の作戦にグループを関連付けました。
研究者によると、Zimbraウェブメールは、東ヨーロッパの組織に対するスパイキャンペーンにおいて、APT29およびWinter Vivernを含む他のロシア関連のハッキンググループによって繰り返しターゲットにされています。
翻訳元: https://therecord.media/russia-hackers-ukraine-zimbra-breach
