Το ρωσικό APT εκμεταλλεύεται το Zimbra XSS για να στοχεύσει την ουκρανική κυβέρνηση στην «Επιχείρηση GhostMail»

Ένας παράγοντας απειλών που συνδέεται με το ρωσικό κράτος εξαπέλυσε μια στοχευμένη κυβερνοεπίθεση εναντίον μιας ουκρανικής κυβερνητικής υπηρεσίας, εκμεταλλευόμενη μια ευπάθεια cross-site scripting (XSS) στο Zimbra Collaboration Suite για να κλέψει διαπιστευτήρια και ευαίσθητα δεδομένα email.

Με την ονομασία «Operation GhostMail», η καμπάνια ξεχωρίζει για την πλήρη απουσία παραδοσιακών δεικτών επίθεσης — χωρίς κακόβουλα συνημμένα αρχεία, χωρίς ύποπτους συνδέσμους και χωρίς μακροεντολές.​

Η επίθεση παραδόθηκε μέσω email ηλεκτρονικού “ψαρέματος” που ελήφθη στις 22 Ιανουαρίου 2026 από την Κρατική Υδρολογική Υπηρεσία της Ουκρανίας — έναν κρίσιμο εθνικό φορέα υποδομής υπό το Υπουργείο Υποδομών της Ουκρανίας.

Γραπτό στα ουκρανικά, το email ήταν μια ερώτηση ρουτίνας πρακτικής άσκησης από έναν υποτιθέμενο τεταρτοετή φοιτητή στην Εθνική Ακαδημία Εσωτερικών Υποθέσεων (NAVS).

Το μήνυμα είχε διατυπωθεί έτσι ώστε να φαίνεται αβλαβές, συμπεριλαμβανομένης ακόμη και μιας συγγνώμης σε περίπτωση που έφτανε σε λάθος εισερχόμενα — μια κλασική τακτική αφοπλισμού της υποψίας του παραλήπτη.​

Οι ερευνητές του Seqrite προσδιόρισαν την εκστρατεία μετά τη μεταφόρτωση του email ηλεκτρονικού ψαρέματος στο VirusTotal στις 26 Φεβρουαρίου 2026, καταγράφοντας μηδενικές ανιχνεύσεις εκείνη τη στιγμή.

Μέσα στο σώμα HTML του email ήταν κρυμμένο ένα μεγάλο ωφέλιμο φορτίο JavaScript με κωδικοποίηση βάσης 64, κρυμμένο σε display:none μπλοκ div.

Το exploit στόχευε το CVE-2025-66376, μια αποθηκευμένη ευπάθεια XSS στο Zimbra Collaboration Suite που ενημερώθηκε στις εκδόσεις ZCS 10.0.18 και 10.1.13 τον Νοέμβριο του 2025.

Το ελάττωμα περιλαμβάνει ανεπαρκή εξυγίανση του περιεχομένου HTML χρησιμοποιώντας CSS @import οδηγίες. Μόλις ένα θύμα άνοιξε το email στο Classic UI του Zimbra με μια ενεργή επαληθευμένη περίοδο λειτουργίας, το ωφέλιμο φορτίο εκτελούνταν σιωπηλά στο πρόγραμμα περιήγησης.​

Με βάση τις τεχνικές επικαλύψεις με προηγούμενα τεκμηριωμένα μοτίβα εκμετάλλευσης της Zimbra και τη γεωπολιτική φύση του στόχου, η Seqrite απέδωσε το Operation GhostMail στο APT28 (Fancy Bear) με μέτρια εμπιστοσύνη.

Η στόχευση μιας ουκρανικής κυβερνητικής υπηρεσίας που είναι υπεύθυνη για τις θαλάσσιες και υδρολογικές υποδομές ευθυγραμμίζεται με τις ρωσικές κρατικές επιχειρήσεις στον κυβερνοχώρο που παρατηρούνται εναντίον ιδρυμάτων του δημόσιου τομέα εν μέσω της συνεχιζόμενης σύγκρουσης.

Μόλις εκτελεστεί το ωφέλιμο φορτίο, ο εισβολέας συγκέντρωσε σιωπηλά διακριτικά συνεδρίας, διαπιστευτήρια σύνδεσης, εφεδρικούς κωδικούς ελέγχου ταυτότητας δύο παραγόντων, κωδικούς πρόσβασης που αποθηκεύτηκαν στο πρόγραμμα περιήγησης και έως και 90 ημέρες από τα αρχεία email του θύματος — όλα αυτά χωρίς να προειδοποιήσει.

Τα δεδομένα διηθήθηκαν τόσο σε κανάλια HTTPS όσο και σε κανάλια DNS, καθιστώντας τον εντοπισμό μέσω συμβατικού φιλτραρίσματος δικτύου ιδιαίτερα δύσκολο.​

Μηχανισμός μόλυνσης δύο σταδίων

Η επίθεση λειτούργησε σε δύο σαφώς καθορισμένα στάδια, και τα δύο εκτελούνταν εξ ολοκλήρου στο πρόγραμμα περιήγησης του θύματος χωρίς ποτέ να γράφουν τίποτα στο δίσκο.​

Στο Στάδιο 1, το πρόγραμμα φόρτωσης JavaScript πρώτα έλεγξε εάν εκτελούνταν ήδη ένα σενάριο με το αναγνωριστικό “zmb_pl_v3_”, αποτρέποντας τις διπλές εγχύσεις.

Στη συνέχεια αποκωδικοποίησε ένα ωφέλιμο φορτίο base64 χρησιμοποιώντας το atob() λειτουργία και εφάρμοσε αποκρυπτογράφηση XOR με το κλειδί “twichcba5e” για να αποσυσκευάσει το τελικό ωφέλιμο φορτίο JavaScript.

Αυτό το αποκωδικοποιημένο σενάριο εισήχθη στο έγγραφο ανώτατου επιπέδου, διαφεύγοντας από το sandbox iframe του webmail και κληρονομώντας την πλήρη πρόσβαση στα cookie του προγράμματος περιήγησης, την τοπική αποθήκευση και τα δικαιώματα API SOAP ίδιας προέλευσης.​

Το Στάδιο 2 εισήγαγε το πλήρες πρόγραμμα κλοπής προγράμματος περιήγησης, το οποίο ξεκίνησε με τη δημιουργία ενός μοναδικού αλφαριθμητικού διακριτικού 12 χαρακτήρων ανά θύμα, που χρησιμοποιείται ως αναγνωριστικό σε κάθε αίτημα εντολής και ελέγχου (C2).

Ο τομέας C2 με σκληρό κώδικα ήταν zimbrasoft[.]com[.]uaεγγράφηκε στις 20 Ιανουαρίου 2026 — δύο ημέρες πριν από την άφιξη του ηλεκτρονικού “ψαρέματος”. Εννέα παράλληλες λειτουργίες συλλογής δεδομένων ξεκίνησαν ταυτόχρονα, μεγιστοποιώντας την απόδοση δεδομένων σε μία μόνο περίοδο λειτουργίας προγράμματος περιήγησης.

Αυτές οι λειτουργίες κατέλαβαν περιεχόμενο email, διαμόρφωση διακομιστή, διακριτικά CSRF, προφίλ φορητών συσκευών, πρόσβαση σε εφαρμογές OAuth, εφεδρικούς κωδικούς 2FA και διαπιστευτήρια που συμπληρώνονται αυτόματα από το πρόγραμμα περιήγησης.

Η επίθεση επίσης ενεργοποίησε αθόρυβα την πρόσβαση IMAP στον λογαριασμό του θύματος και δημιούργησε έναν μόνιμο κωδικό πρόσβασης για συγκεκριμένη εφαρμογή με το όνομα “ZimbraWeb”, δίνοντας στον εισβολέα μακροπρόθεσμη πρόσβαση στο γραμματοκιβώτιο που επιβιώνει από την πλήρη επαναφορά του κωδικού πρόσβασης.​

Οι οργανισμοί που εκτελούν το Zimbra θα πρέπει να αναβαθμίσουν αμέσως από την έκδοση 8.8.15 σε τουλάχιστον την έκδοση 10.1.x.

Οι διαχειριστές θα πρέπει να ελέγχουν όλους τους λογαριασμούς για κωδικούς πρόσβασης για συγκεκριμένες εφαρμογές με το όνομα “ZimbraWeb” και να τους ανακαλούν χωρίς καθυστέρηση.

Η παρακολούθηση του SOAP API θα πρέπει να αναπτυχθεί, όπως απαιτείται GetScratchCodesRequest και CreateAppSpecificPasswordRequest σπάνια παρατηρούνται σε κανονική χρήση και απαιτούν άμεση διερεύνηση.

Το φιλτράρισμα DNS θα πρέπει να επιβάλλεται στους αναγνωρισμένους τομείς IOC και η πρόσβαση IMAP ή POP3 θα πρέπει να απενεργοποιηθεί για λογαριασμούς χωρίς σαφή επιχειρηματική ανάγκη.

Το προσωπικό πρέπει επίσης να κατανοήσει ότι ένα καθαρό μήνυμα ηλεκτρονικού ταχυδρομείου χωρίς συνημμένα και χωρίς εξωτερικούς συνδέσμους μπορεί να παραδώσει ένα πλήρως λειτουργικό κακόβουλο ωφέλιμο φορτίο κρυμμένο μέσα στο σώμα HTML του.