Seqrite Labsは「Operation GhostMail」と呼ばれる高度に標的化されたフィッシングキャンペーンを発見しました。この攻撃は、Zimbra Collaboration Suite (ZCS)のクロスサイトスクリプティング(XSS)脆弱性を悪用して、ウクライナ国家水文局を侵害しました。
典型的な攻撃と異なり、このキャンペーンはメール本文に完全に依存し、悪意のある添付ファイル、疑わしいリンク、またはマクロを使用していません。
中程度の信頼度でロシア政府支援グループのAPT28に帰属する本作戦は、被害者のブラウザ内に独占的に存在することで高度な隠蔽を実証しています。
攻撃は、標準的なインターンシップ問い合わせに偽装したフィッシングメールで始まります。2026年1月22日に送信されたメッセージは、国家内務学院(NAVS)の侵害された学生アカウントから発信されました。
被害者がZimbra Classic UIでメールを開くと、隠されたJavaScriptペイロード実行が静かに行われます。これはCVE-2025-66376を悪用しており、CSS @importディレクティブの不適切なサニタイゼーションが原因で、2025年11月にパッチが適用された保存型XSS脆弱性です。
Zimbraの組み込まれたAntiSamyセキュリティフィルターをバイパスするため、攻撃者はHTMLタグ名に直接ノイズを注入しました。
これにより、奇形のタグがブラウザに対して有効なままでありながら、正規表現ベースの検査を回避することができました。ブラウザが断片化されたコードを再構築すると、Base64エンコードされたローダーが実行されます。
ペイロードがブラウザのメモリでアクティブである間、マルウェアはZimbraの正規なSOAP APIを利用して不正な操作を実行します。
ローカルストレージからCSRFトークンを抽出することで、スクリプトはそのリクエストが通常のWebメールアクティビティと同一に見えるようにします。
スティーラーは9つの同時操作を実行してデータ盗難を最大化し、ログイン認証情報、セッショントークン、バックアップ2FA復旧コード、ブラウザ保存パスワードをキャプチャします。
また、アプリ固有のパスワードを静かに生成し、侵害されたアカウントでIMAP アクセスを有効にすることで、長期的な永続性を確立します。
最も深刻な影響は、被害者のメールボックス全体の流出です。seqrite スクリプトがZimbraのネイティブエクスポート機能を使用して最大90日分のメールをダウンロードします。
データの送信を確実にするため、盗まれた情報はコマンド・アンド・コントロール(C2)ドメインのzimbrasoft[.]com[.]uaに二重チャネルアプローチを使用して送信されます。
大きなデータブロブはHTTPSを通じて送信され、小さなセグメントはBase32でエンコードされ、標準的なネットワークブロックをバイパスするためにDNSクエリを通じて流出されます。
翻訳元: https://cyberpress.org/ghostmail-targets-ukraine-mail/