Группа хакеров, поддерживаемая российским государством и известная как APT28, активно использует критическую уязвимость в Zimbra Collaboration Suite (ZCS) для атак на украинские государственные структуры. Уязвимость, зарегистрированная как CVE-2025-66376, представляет собой опасную уязвимость типа stored cross-site scripting (XSS), которая позволяет неаутентифицированным злоумышленникам выполнять удаленный код (RCE). Это дает им возможность полностью скомпрометировать почтовый сервер Zimbra и получить доступ к почтовым ящикам жертв. Zimbra выпустила заплатку для этой уязвимости в начале ноября 2024 года, но ее активная эксплуатация подчеркивает сохраняющуюся угрозу для непропатченных систем, особенно в условиях высокой геополитической напряженности.
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) официально добавило CVE-2025-66376 в свой каталог известных эксплуатируемых уязвимостей (KEV), подтвердив ее активное использование в атаках. В соответствии с Обязательным оперативным директивом (BOD) 22-01, CISA предписало всем федеральным гражданским исполнительным агентствам (FCEB) применить необходимые исправления и обезопасить свои системы от этой уязвимости в течение двух недель. Эта директива подчеркивает серьезность угрозы, распространяя обеспокоенность за пределы непосредственных украинских целей на федеральную инфраструктуру США. Хотя CISA не указала на конкретных исполнителей, исследователи безопасности из Seqrite Labs сообщили, что за кампанией по эксплуатации стоит группа APT28, связанная с Главным разведывательным управлением (ГРУ) России.
Одной из подтвержденных жертв этой кампании является Государственное агентство гидрологии Украины, критически важный объект инфраструктуры при Министерстве инфраструктуры, отвечающий за навигационную, морскую и гидрографическую поддержку. Компрометация такого агентства демонстрирует продолжающуюся концентрацию APT28 на дестабилизации и шпионаже против критической инфраструктуры Украины на фоне продолжающегося конфликта. Использование уязвимости в широко распространенной платформе для совместной работы, такой как Zimbra, является классической тактикой, позволяющей злоумышленникам получить точку опоры в сетях через распространенный корпоративный инструмент.
Организациям, особенно в государственном секторе и секторе критической инфраструктуры, необходимо отнестись к этому предупреждению с высшим приоритетом. Требуются немедленные действия по применению обновлений безопасности Zimbra, выпущенных в ноябре 2024 года. Помимо установки исправлений, командам безопасности следует проверить логи на признаки эксплуатации, отслеживать подозрительную активность в электронной почте и обеспечить надежную сегментацию сети для ограничения lateral movement. Этот инцидент является суровым напоминанием о том, что скорость установки исправлений является критически важным компонентом киберзащиты, а задержки могут быть напрямую использованы продвинутыми постоянными угрозами (APT) для проведения шпионских и диверсионных операций.
