Хакери використовують критичну вразливість Zimbra для атак на українські державні установи

Хакерське угруповання APT28 (також відоме як Fancy Bear або Strontium), яке пов’язують із російським ГРУ, активно використовує нещодавно виявлену критичну вразливість у поштовому клієнті Zimbra Collaboration Suite (ZCS) для злому українських урядових ресурсів та e-mail акаунтів.

Однією з цілей кіберзлочинців є Державне агентство гідрології України, важлива установа Міністерства інфраструктури, яка займається навігаційним, морським та гідрографічним обслуговуванням. Для доставки шкідливого навантаження JavaScript, вбудованого в тіло електронного листа, використовується запит нібито від кандидата на стажування в Держгідрографію.

У повідомленні, яке написане українською мовою, відправник представляється студенткою 4-го курсу Національної академії внутрішніх справ, яка запитує, чи знає одержувач про можливость стажування або контакти, з якими вона могла б зв’язатися. При цьому відправник вибачається, якщо електронний лист потрапить до неправильної поштової скриньки, що є класичною тактикою для побудови довіри.

Особливістю атаки є відсутність звичних вкладених файлів. Натомість хакери користуються надзвичайно серйозним недоліком безпеки Zimbra (CVE-2025-66376), який виникає через збережений міжсайтовий скриптинг (XSS). Зловмисники можуть використовувати його для отримання доступу до віддаленого виконання коду (RCE) та компрометації сервера Zimbra й облікового запису електронної пошти.

«Фішинговий лист не містить шкідливих вкладень, підозрілих посилань чи макросів. Весь ланцюг атаки знаходиться всередині HTML-тіла одного електронного листа, шкідливих вкладень немає», — заявили в Seqrite Labs.

Електронний лист містить прихований шкідливий код JavaScript, вбудований у блок <div style=”display:none”>. Це великий скрипт у кодуванні base64 всередині HTML-тіла.

Скрипт виконується непомітно у браузері та починає збирати облікові дані, токени сеансу, резервні коди 2FA, збережені в браузері паролі та вміст поштової скриньки жертви за останні 90 днів, причому всі дані витягуються через DNS та HTTPS.

Технічні деталі вразливості

Критична вразливість CVE-2024-45519 виникає через недостатню фільтрацію вхідних даних, що передаються командній оболонці (shell) під час обробки SMTP-запитів. Це дозволяє зловмиснику надіслати спеціально сформований запит на порт сервісу логів та виконати довільні команди в системі з правами користувача Zimbra.

Вектор атаки та Payload

За даними CERT-UA та СБУ, атаки APT28 характеризуються наступним ланцюжком:

• Розвідка: Сканування інфраструктури на наявність відкритих портів Zimbra.
• Експлуатація: Надсилання SMTP-пакетів, що містять корисне навантаження (payload) у полі отримувача або заголовках, які парсяться сервісом postjournal.
• Backconnect Shell: Після успішного виконання коду сервер ініціює з’єднання з C2-сервером хакерів.
• Ексфільтрація: Використання інструментів для збору поштових баз, облікових даних та встановлення персистентності (закріплення) в системі.

Що потрібно перевірити (IoC та рекомендації)

Якщо ви адмініструєте поштові сервери Zimbra, зверніть увагу на наступні кроки:

• Оновлення версії: Вразливість була усунена у вересневих патчах 2024 року. Переконайтеся, що ви використовуєте наступні версії або новіші: ZCS 9.0.0 Patch 41, ZCS 10.0.9, ZCS 10.1.1, ZCS 8.8.15 Patch 46.
• Конфігурація postjournal: Якщо ви не використовуєте функціонал логування через цей сервіс, його рекомендується вимкнути або обмежити доступ до нього на рівні мережевого екрана (за замовчуванням порт 10027).
• Моніторинг логів: Перевірте логи SMTP та системні журнали на предмет підозрілих викликів команд через sh або bash, які ініційовані процесом Zimbra.
• Мережева безпека: Обмежте вихідні з’єднання з поштових серверів лише необхідними напрямками, щоб запобігти роботі реверс-шеллів (Reverse Shell).

Чому це важливо

APT28 традиційно фокусується на зборі розвідданих. Враховуючи популярність Zimbra в державному та корпоративному секторах України, CVE-2024-45519 стала пріоритетним вектором для отримання доступу до конфіденційного листування. Статус вразливості критичний. Рекомендується негайне встановлення патчів.

Нагадаємо, підшукуючи жертв серед розробників, хакери маскуються під рекрутерів.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn