Apt russo explora xss no zimbra para alvejar governo ucraniano em operação ghostmail
Um ator de ameaça ligado ao Estado russo lançou um ciberataque direcionado contra uma agência governamental ucraniana, explorando uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite para roubar credenciais e dados de e-mail sensíveis. A campanha, batizada de 'Operation GhostMail', destaca-se pela ausência completa de indicadores de ataque tradicionais.
Detalhes da campanha e alvo
O ataque foi entregue através de um e-mail de phishing recebido em 22 de janeiro de 2026 pela Agência Estatal de Hidrologia da Ucrânia, um órgão de infraestrutura nacional crítica sob o Ministério da Infraestrutura da Ucrânia. O e-mail, escrito em ucraniano, se passava por uma consulta de estágio rotineira de um estudante de quarto ano da Academia Nacional de Assuntos Internos (NAVS).
A mensagem foi redigida para parecer inofensiva, incluindo até mesmo um pedido de desculpas caso chegasse à caixa de entrada errada, uma tática clássica para desarmar a suspeita do destinatário. Pesquisadores da Seqrite identificaram a campanha após o e-mail de phishing ser enviado para o VirusTotal em 26 de fevereiro de 2026, registrando zero detecções na época.
Vulnerabilidade explorada
O exploit visava a CVE-2025-66376, uma vulnerabilidade de XSS armazenada no Zimbra Collaboration Suite corrigida nas versões ZCS 10.0.18 e 10.1.13 em novembro de 2025. A falha envolve sanitização insuficiente de conteúdo HTML usando diretivas CSS @import. Uma vez que uma vítima abria o e-mail na Interface Clássica do Zimbra com uma sessão autenticada ativa, o payload era executado silenciosamente no navegador.
Baseado em sobreposições técnicas com padrões de exploração do Zimbra anteriormente documentados e na natureza geopolítica do alvo, a Seqrite atribuiu a Operation GhostMail ao APT28 (Fancy Bear) com confiança média. O direcionamento de uma agência governamental ucraniana responsável por infraestrutura marítima e hidrológica alinha-se com operações cibernéticas patrocinadas pelo Estado russo observadas contra instituições do setor público.
Mecanismo de infecção em duas etapas
O ataque operou em duas etapas claramente definidas, ambas executadas inteiramente dentro do navegador da vítima, sem escrever nada em disco. Na Etapa 1, o carregador JavaScript verificou se um script com o ID 'zmb_pl_v3_' já estava em execução, prevenindo injeções duplicadas. Ele então decodificou um payload base64 usando a função atob() e aplicou descriptografia XOR com a chave 'twichcba5e' para desempacotar o payload JavaScript final.
Este script decodificado foi injetado no documento de nível superior, escapando da sandbox do webmail e herdando acesso total aos cookies, localStorage e direitos da API SOAP de mesmo origem da vítima. A Etapa 2 introduziu o sequestrador de navegador completo, que começou gerando um token alfanumérico único de 12 caracteres por vítima, usado como identificador em cada solicitação de comando e controle (C2).
Exfiltração de dados e persistência
O domínio C2 hardcoded era zimbrasoft[.]com[.]ua, registrado em 20 de janeiro de 2026, dois dias antes do e-mail de phishing chegar. Nove operações de coleta de dados paralelas foram lançadas simultaneamente, maximizando o rendimento de dados dentro de uma única sessão de navegador. Essas operações capturaram conteúdo de e-mail, configuração do servidor, tokens CSRF, perfis de dispositivos móveis, acesso a aplicativos OAuth, códigos de backup 2FA e credenciais preenchidas automaticamente no navegador.
O ataque também habilitou silenciosamente o acesso IMAP na conta da vítima e criou uma senha específica de aplicativo persistente chamada 'ZimbraWeb', dando ao atacante acesso de longo prazo à caixa de correio que sobrevive a uma redefinição completa de senha. Os dados foram exfiltrados tanto por canais HTTPS quanto DNS, tornando a detecção através de filtragem de rede convencional particularmente difícil.
Medidas de mitigação recomendadas
Organizações que executam Zimbra devem atualizar imediatamente da versão 8.8.15 para pelo menos a versão 10.1.x. Administradores devem auditar todas as contas para senhas específicas de aplicativo nomeadas 'ZimbraWeb' e revogá-las sem demora. O monitoramento da API SOAP deve ser implantado, pois chamadas a GetScratchCodesRequest e CreateAppSpecificPasswordRequest são raramente vistas no uso normal.
O filtragem DNS deve ser aplicada contra os domínios IOC identificados, e o acesso IMAP ou POP3 deve ser desativado para contas sem uma necessidade comercial clara. O pessoal também deve entender que um e-mail com aparência limpa, sem anexos e sem links externos, ainda pode entregar um payload malicioso totalmente funcional escondido dentro de seu corpo HTML.
O que os CISOs devem fazer imediatamente
Os CISOs devem priorizar a atualização do Zimbra e a auditoria de contas para senhas de aplicativo suspeitas. O monitoramento de tráfego de saída para domínios C2 conhecidos e a implementação de filtragem DNS são essenciais para mitigar esse tipo de ataque. A conscientização do pessoal sobre e-mails de phishing sofisticados é crucial.
Perguntas frequentes
Qual é a vulnerabilidade explorada? CVE-2025-66376, uma falha de XSS armazenada no Zimbra.
Quem está por trás do ataque? APT28 (Fancy Bear), atribuído com confiança média.
Como se proteger? Atualizar o Zimbra, auditar senhas de aplicativo e monitorar tráfego de saída.