大きな.ICSカレンダー添付ファイルを監視していた研究者は、Zimbra Collaboration Suite(ZCS)の脆弱性が年初にゼロデイ攻撃で利用されていたことを発見しました。
ICSファイル(iCalendarファイルとも呼ばれる)は、カレンダーやスケジュール情報(会議、イベント、タスクなど)をプレーンテキストで保存し、さまざまなカレンダーアプリケーション間で交換するために使用されます。
攻撃者は、ZCS 9.0、10.0、10.1に存在するクロスサイトスクリプティング(XSS)の脆弱性CVE-2025-27915を悪用し、ターゲットシステムにJavaScriptペイロードを配信しました。
この脆弱性は、ICSファイル内のHTMLコンテンツのサニタイズが不十分であったことに起因し、攻撃者は被害者のセッション内で任意のJavaScriptを実行できました。例えば、メッセージを自分たちに転送するフィルターを設定するなどの行為が可能でした。
Zimbraは1月27日にZCS 9.0.0 P44、10.0.13、10.1.5をリリースし、このセキュリティ問題に対応しましたが、実際の悪用活動については言及しませんでした。
しかし、AI駆動のセキュリティ運用・脅威管理プラットフォームを開発するStrikeReady社の研究者は、10KBを超え、JavaScriptコードを含む.ICSファイルを監視していたところ、この攻撃を発見しました。
彼らは、攻撃がZimbraがパッチをリリースする前の1月初旬に始まっていたことを突き止めました。
攻撃者は、リビア海軍プロトコル局を装ったメールを使い、ブラジルの軍事組織を標的としたゼロデイエクスプロイトを配信しました。
出典:StrikeReady
この悪意のあるメールには、Base64エンコーディング方式で難読化されたJavaScriptファイルを含む00KBのICSファイルが添付されていました。
出典:StrikeReady
研究者の分析によると、このペイロードはZimbra Webmailから認証情報、メール、連絡先、共有フォルダーなどのデータを盗むよう設計されています。
StrikeReadyによれば、この悪意のあるコードは非同期モードで実行され、さまざまな即時実行関数(IIFE)に組み込まれています。研究者は、以下のような動作が可能であることを発見しました:
- 隠しユーザー名/パスワードフィールドの作成
- ログインフォームから認証情報を窃取
- ユーザーの活動(マウス・キーボード)を監視し、非アクティブユーザーをログアウトさせて窃盗を誘発
- Zimbra SOAP APIを利用してフォルダーを検索し、メールを取得
- メール内容を攻撃者に送信(4時間ごとに繰り返し)
- 「Correo」という名前のフィルターを追加し、メールをProtonアドレスに転送
- これらの認証・バックアップアーティファクトを収集し、持ち出し
- 連絡先、配布リスト、共有フォルダーを持ち出し
- 実行前に60秒の遅延を追加
- 3日間の実行制限(前回実行から3日以上経過しないと再実行しない)
- ユーザーインターフェース(UI)の要素を隠し、視覚的な手がかりを減少
StrikeReadyは、この攻撃を既知の脅威グループに高い確度で帰属させることはできませんでしたが、ゼロデイ脆弱性を発見できる攻撃者はごく少数であり、「ロシア系グループが特に活発である」と指摘しています。
また、同様の戦術・技術・手順(TTP)が、Mandiantがベラルーシ政府に関連付けた脅威グループUNC1151による攻撃でも観測されていると述べています。
StrikeReadyのレポートでは、侵害の指標や、攻撃に使用された.INCカレンダーファイルから難読化解除されたJavaScriptコードのバージョンも共有されています。
BleepingComputerはこの活動についてZimbraに問い合わせており、回答が得られ次第、本記事を更新します。
