ウェブメールアーキテクチャを対象としたフィッシング攻撃は、通常、よく知られた軌跡に沿って実行されます:悪質な添付ファイル、有毒なハイパーリンク、侵害されたマクロ、または潜在的なダウンローダーです。しかし、ウクライナの主権国家機関を対象とした新興キャンペーン内では、攻撃者はこのような従来のアーセナルを完全に放棄しました。悪意あるコードはメール自体のHTMLコーパスに直接埋め込まれ、不注意な標的がZimbraの脆弱なバージョン内で単にメールを開いた時点で実行が開始されました。
この運動的な攻撃は、Seqrite Labsの先端部隊によって発見されました。この致命的なメッセージの受信者は、国家重要インフラとして認識される、海運路の航海的、海事的、および水路測量監視を委託されたエンティティである国家水文局に配置されたエージェントでした。
この罠は寒気がするほど平凡な外観を持ち、その危険性を極度に増加させました。ウクライナ語で書かれたメッセージは、潜在的なインターンシップに関する良性の問い合わせとして巧妙に偽装されていました。送信者は国内問題国家アカデミーからの4年生の学者を装い、受取人が関連する専門家の連絡先または空いているポストを持っているかどうかを丁寧に尋ねていました。通信は、問い合わせが誤った受信者に向けられた場合の丁寧な謝罪で終わりました。このような戦略は長い間、フィッシング戦術の定番でした:控えめな口調は疑いを効果的に中和し、標的をメッセージを通常の専門職通信と認識するように強制します。
初期の精査では、メッセージは悪意の明らかな前兆を示しませんでした。法医学調査官は有毒な添付ファイル、外部ハイパーリンク、または侵害されたマクロを含む記事を発見しませんでした。攻撃チェーン全体は、単一のメッセージのHTMLマークアップ内に巧みに隠されていました。有毒なコードは、divブロック内に隠され、display:noneスタイリング指令によってベールに包まれ、Base64エンコードされたJavaScriptの膨大なフラグメントとして表示されました。さらに、攻撃者はCSS @importディレクティブを活用した構造的異常を武器化することで、フィルタリング機構を回避し、タグと属性名にシームレスに埋め込みました。通常のセキュリティ番兵にはこのフラグメントは単なる破片の無害なマークアップのように見えましたが、ブラウザはそれを致命的で実行可能なスクリプトに統合しました。
建築学的には、この攻撃はZimbra Collaboration Suite内に生じるXSS脆弱性に基づいていました。この重大な欠陥は、特に@importディレクティブおよび補助的なスクリプト注入ベクトルを含む精巧に製造されたコンストラクトを解析する場合、HTMLコンテンツの不十分なサニタイゼーションから生じています。この隙間は2025年11月までにZCS反復10.0.18および10.1.13内で既に密閉されていましたが、この攻撃は必ずしもすべてのデプロイメントが必要な迅速さで強化されていないことを明らかに示しています。重要な詳細:成功した起爆は、標的が特に正規のZimbraウェブインターフェース内でメールを開くことを厳密に必要としていました。その場所で有毒なマークアップはアクティブで認証済みセッションの庇護下で実行されました。
メッセージの展開時に、スクリプトはブラウザの聖域内で点火し、ほぼ完全にユーザーに目立たずに動作しました。初期段階はJavaScriptローダーでした。この先導部隊は有毒なモジュールが既にページのアーキテクチャに根付いているかどうかを確認しました。その後、atob()を介してペイロードを解読し、暗号化キーtwichcba5eを使用してXOR操作を実行し、最終的にコードをページの最高文書に注入しました。この深い操作は、悪意あるモジュールにクッキー、localStorage、およびウェブメールアーキテクチャ自体が享受する同一オリジン特権への無制限アクセスを付与しました。本質的に、スクリプトは被害者の認証済みZimbraセッションの機能とほぼ絶対的な同等性を簒奪しました。
次の段階は完全に完成した、純粋なブラウザ情報盗難者として動作しました。コードはブラウザの揮発性メモリ内で直接実行され、貪欲に認証情報テレメトリ、セッションSOAPトークン、バックアップ二要素認証キー、メールボックス全体の内容、添付ファイル、クッキー、および様々な補助的な機密情報を収集しました。各個人被害者用に12文字のカスタム識別子が鍛造され、コマンド・アンド・コントロール主権への各質問のための暗号化ハルマークとして機能しました。法医学研究者はzimbrasoft[.]com[.]uaドメインを統制機構として指摘しました。操作のいかなるレベルでも重大なエラーが発生した場合、悪意あるコードは即座にサーバーに特定段階、エラーのテキスト、および関連するスタックトレースを詳述した発送を送信し、演算子に失敗の正確な時点での即座で粒度の高い可視性を付与しました。
モジュールのZimbraの固有APIとの相互作用は深刻な精査を必要とします。悪意あるコードは/service/soap/エンドポイントに向けられたSOAP質問を武器化しました。これはメールアーキテクチャ自体の合法的でネイティブなインターフェースです。これらの請願を検証するために、モジュールは盗まれた反CSRF token を盗まれた反CSRF トークンを密かに付加しました。このトークンは暗号化シールであり、Zimbraは従来のインターフェース内で遺憾ながらlocalStorage内に暗号化されていない状態で保存しています。その結果、これらの工作は歩行者として完璧に偽装されました。ウェブメール聖域内で動作するユーザーの認可活動。単一のSOAPリクエストが拒否された場合、アーキテクチャラッパーは単にnullを返し、補助的な操作の全体系が並列で進行することを許可し、完全に動揺せずに。
この略奪されたテレメトリの流出は二重チャネル導管を通じて統制されました:HTTPS経由および同時にDNS経由です。DNS ベクトルを通じた伝送のため、値はRFC 4648 Base32スキーマを使用して暗号化され、60文字のフラグメントに分割され、その後サブドメイン命名法に変換されました。この秘密の経路は、従来のウェブトラフィックが独裁的なフィルタリングに従う必要がある環境内で動作する攻撃者にとって非常に有利です。一方、DNSクエリは頻繁に遮るもなく通過します。より大量のアーティファクト、例えば包括的な構成ダンプは、バイナリデータにシリアル化され、/v/d経路に向けてHTTPS経由で派遣されました。X-Filenameヘッダーで装飾されました。簡潔なミッション、ナビゲーション・ビーコン、および運用テレメトリの場合、/v/p経路が採用されました。その結果、単一の知能フラグメントは2つの異なるルート経由で同時に流出可能でした:DNS が厳重に要塞化されたネットワーク内で援助を提供し、HTTPS は導管がアクセス可能なままである場合にデータの絶対的な整合性を保持します。
有毒なアーキテクチャはPromise.allを介して同時に9つの並列タスクを点火させました。このような貪欲なアプローチは、ユーザーが迅速にブラウザタブを終了した場合でも、情報の最大収集を確保するために重要でした。指定された関数は統制主権への初期ビーコンを派遣しました。補助モジュールはメールコーディネートと認証情報テレメトリを収集し、最初にページの固有変数から抽出を試みてから、GetIdentitiesRequestを介してそれらを質問しました。別個のモジュールはクライアント環境を細心に指紋採取し、GetInfoRequestを活用してサーバーおよびアカウント全体的パラメータの絶対的な総合性を要求しました。Zimbaraの反復、メールボックスクォータ、特定の構成、およびホスト命名法を網羅しています。この知識の頂点は包括的なJSON分析ドシェとして保存されました。
最も壊滅的な機能の中には、GetScratchCodesRequestを介したバックアップ二要素認証コードの抽出がありました。これらのコードは顧客が二次認証要因を持たない場合の緊急入場用に明示的に設計されています。デジタル略奪者がそれを簒奪した場合、単なるパスワードの変更はもはや保証された聖域ではありません。多数の防御的砦は後の時代に容易に迂回されることができます。各個別コード はDNS 導管を介して別個の伝送として方法的に流出されました。
さらに別のモジュールはCreateAppSpecificPasswordRequestを介したアプリケーション特定パスワードを鍛造しました。Zimbraは外部クライアントおよび補助的なサービスのために仕立てられた特化したパスワードの生成を権限付けます。精査された標本内では、この新生、恒久的パスワードはZimbraWebの命名法の下に洗礼されました。深刻な危険は、そのような秘密が一次パスワード の歩行者的な変更を頻繁に生き残るという現実に存在します。攻撃者にとって、これはメールボックス内で長期的でアンダーグラウンドな拠点を確保するための非常に便利な方法論を提示し、被害者が異常を感知した後でもIMAP または API導管を介した後続の入場を付与します。
さらに、悪意あるアーキテクチャはurn:zimbraSync名前空間内からGetDeviceStatusRequestを介したテザーされたモバイル装置に関するテレメトリを収集しました。応答はデバイス識別子、建築学的類型、同期ステータス、および補助的で非常に実行可能な詳細の配列を生じました。悪人にとって、これは単なる技術的参照を超えました。それは被害者の深い画像構成であり、後続の運動的攻撃に向けられた根拠を築き、モバイル境界に向けられました。さらに、GetOAuthConsumersRequestを介して、スクリプトはメールボックスへのアクセスを命令する第三者OAuthアプリケーションの包括的なリストを流出させました。これは演算子に外部サービスに不可分に結合されたアカウントの誇られない全景を付与し、攻撃がさらに伝播される可能性のある複数の代替プラットフォームを照らしました。
完全に別個の戦略は、Zimbaraアーキテクチャ自体ではなく、主権ブラウザを対象としました。2つの難読化フォームフィールドは、属性autocomplete="username"およびautocomplete="current-password"で装飾され、ページに目立たずに注入されました。コードはその後5秒間の空白を観察し、ブラウザの認証情報マネージャーが値を自律的に入力するための十分な時間を提供しました。その後、収集された内容は読取られ、サーバーに派遣され、注入された要素は容赦なく消去されました。この特定の操作はZimbaraトークンを全く必要としませんでした。攻撃はブラウザ層で機能し、パスワードマネージャーが保存された秘密を自動的に降伏する固有の傾向を容赦なく悪用しました。
補助的なモジュールはModifyPrefsRequestを介してIMAPを静かに活性化し、zimbraPrefImapEnabledパラメータをTRUEに調整しました。ここでの根拠は冷酷に実用的です:アプリケーションパスワードの生成に続き、悪人は正規のクライアントを使用して通信を閲覧することができるリモートプロトコルを必要とし、したがってウェブインターフェースから完全に独立してメールボックスの監視を継続します。IMAPの活性化は、単一の、はかない侵害をひどく復元力のある、恒久的なアクセス導管に変形させました。
包囲の最も困難で、おそらく最も価値のある側面は、前の90日間の通信の体系的な保管流出でした。sendArchivesモジュールは、各特定の日々の時代に対してスパムとしてフラグされていない内容を除いてメールボックス全体の内容をダウンロードし、日数0から89を細心に反復しました。Zimbaraの固有エクスポートネクサス:/home/~/?fmt=tgz。各日次アーカイブはサーバーに即座に派遣されました。現代的なブラウザの場合、これはReadableStreamを利用したストリーミング伝送を介して実現され、メモリバッファリングを完全に迂回しました。古い反復の場合、バッファリング方法論が採用され、500 MBしきい値に制約されました。同時に、zd_comp_YYYY-MM-DD命名法を持つ暗号化チェックポイントがlocalStorage内に保存されました。これはタブが後に再度開かれた場合、以前に流出された日が冗長な伝送を受けないことを確保しました。非常に気前よい24時間のタイムアウトが1日あたり割り当てられ、タブが保持し、顧客が接続を切断しない限り、体系的にアーカイブを長く吸い上げることができることを意味します。
調査官は、コマンドサーバーのドメインが2026年1月20日に神聖化されたことを記録しており、砲撃の開始に先立つ瞬間です。インフラストラクチャ内では、少なくとも2つの合成的に生成されたドメインが観察されました:js-l1wt597cimk[.]i[.]zimbrasoft[.]com[.]uaおよびjs-26tik3egye4[.]i[.]zimbrasoft[.]com[.]ua。致命的なメッセージは2026年1月22日に到着し、ヘッダーテレメトリによれば、国内問題国家アカデミーに不可分に結合されたインフラストラクチャ経由で派遣されました。法医学研究者は、送信者のアカウントが全可能性において既に妥協していると仮定しています。補助的で寒気がする詳細:最初の暴露の時点で、標本はウイルス総合サイト上でゼロ検出を引き起こしました。
ドシェは具体的に、東ヨーロッパ全域のZimbaraおよび補助的なウェブメールアーキテクチャに対して統制されたAPT28、APT29、およびTA473によって統制される以前に記録された操作を参照します。それにもかかわらず、GhostMail砲撃はAPT28の確立された工作と最も合同的に整列します。Seqrite Labsは、ZimbaraエピソードのAPIと内部のAPT28のAPT28のAPT28のAPT28のAPT28のAPT28のAPT28および補助的なスクリプト注入ベクトルを含む精巧に製造されたコンストラクトを解析する場合、HTMLコンテンツの不十分なサニタイゼーションから生じています。これらの深刻な啓示はすでにCERT-UAに伝えられています。
GhostMailの物語は、電子メール砲撃の根本的な論理の深刻な進化における傑出した教科書を提供します。デジタル略奪者は、もはえはディスク上の有毒な実行ファイル、文書内の侵害されたマクロ、または別個のアンダーグラウンド ダウンローダーを普遍的に必要としません。ウェブメールアーキテクチャに脆弱性が存在する場合、悪意あるアクションの全体系はブラウザ内で直接シームレスに実行することができます。ユーザーのアクティブセッション内に嫌がらせをされ、プラットフォーム自体の極めて正規の機能をそれ自体に対して容赦なく武器化します。防衛の先導部隊にとって、これはZimbaraが遅延なしで要塞化される必要があるという絶対的で曖昧でない命令を命じます。ウェブメール内のHTMLコンテンツは独裁的なフィルタリングの対象とされなければなりません。および異常なSOAP質問、予期しないIMAPの活性化、唯一のアプリケーションパスワードの生成、およびメールアーカイブの大量流出は、絶え間ないの警戒心で監視される必要があります。
