قامت مجموعة قرصنة مدعومة من الدولة الروسية، تُعرف باسم APT28، باستغلال ثغرة حرجة في برنامج زيمبرا للتعاون (Zimbra Collaboration Suite) لاستهداف كيانات حكومية أوكرانية. تُعرف هذه الثغرة بالرقم CVE-2025-66376، وهي ثغرة عالية الخطورة من نوع cross-site scripting مخزنة (Stored XSS)، تسمح للمهاجمين غير المصادَق عليهم بتنفيذ أكواد عن بُعد (RCE). هذا يمكنهم من اختراق خادم بريد زيمبرا بالكامل والوصول إلى حسابات البريد الإلكتروني للهدف. أصدرت زيمبرا تصحيحاً لهذه الثغرة في أوائل نوفمبر 2024، لكن استغلالها النشط يؤكد على التهديد المستمر للأنظمة غير المحدثة، خاصة في السياقات الجيوسياسية عالية القيمة.
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) رسمياً ثغرة CVE-2025-66376 إلى فهرس الثغرات المستغلة معروفاً (KEV)، مؤكدةً استخدامها النشط في الهجمات. بموجب التوجيه التشغيلي الملزم (BOD) 22-01، أمرت CISA جميع الوكالات الفيدرالية المدنية التنفيذية (FCEB) بتطبيق التصحيحات اللازمة وتأمين أنظمتها ضد هذه الثغرة في غضون أسبوعين. يسلط هذا التوجيه الضوء على خطورة التهديد، ممتداً بالقلق beyond الأهداف الأوكرانية المباشرة إلى البنية التحتية الفيدرالية الأمريكية. بينما لم تنسب CISA الهجمات، أبلغ باحثو الأمن في Seqrite Labs أن مجموعة APT28—المرتبطة باستخبارات الجيش الروسي (GRU)—هي من يقف وراء حملة الاستغلال.
أحد الضحايا المؤكدين في هذه الحملة هي الوكالة الحكومية الأوكرانية للهيدرولوجيا، وهي كيان حيوي ضمن البنية التحتية الحرجة التابعة لوزارة البنية التحتية والمسؤولة عن الدعم الملاحي والبحري والهيدروغرافي. يوضح اختراق مثل هذه الوكالة استمرار تركيز APT28 على تعطيل وجمع المعلومات الاستخبارية ضد البنية التحتية الأوكرانية الحرجة وسط الصراع المستمر. يعد استخدام ثغرة في منصة تعاونية منتشرة على نطاق واسع مثل زيمبرا تكتيكاً كلاسيكياً، يسمح للجهات الفاعلة المهددة بإنشاء موطئ قدم في الشبكات من خلال أداة مشتركة للمؤسسات.
يجب على المنظمات، وخاصة تلك في قطاعات الحكومة والبنية التحتية الحرجة، التعامل مع هذا التنبيه بأولوية عالية. يتطلب الأمر إجراءً فورياً لتطبيق تحديثات الأمان التي أصدرتها زيمبرا في نوفمبر 2024. beyond التصحيح، يجب على فرق الأمن مراجعة سجلات النظام للبحث عن علامات الاستغلال، ومراقبة نشاط البريد الإلكتروني المشبوه، وضمان التجزئة القوية للشبكة للحد من الحركة الجانبية. يذكرنا هذا الحادث بوضوح أن وتيرة التصحيح هي عنصر حاسم في الدفاع السيبراني، وأن التأخير يمكن أن يستغله مباشرةً جهات التهديد المتقدمة والمستمرة (APTs) لتنفيذ عمليات تجسس وتعطيل.
