文章总结： 一个与俄罗斯有关联的APT组织（很可能是APT28）利用ZimbraCollaboration中的高危XSS漏洞CVE-2025-66376，通过伪装成实习申请的钓鱼邮件攻击乌克兰境内实体。该漏洞允许攻击者在用户打开邮件时窃取凭证、会话令牌及90天内的邮件数据。此活动被命名为幽灵邮件行动，美国CISA已将该漏洞列入已知利用目录，并要求联邦机构在2026年4月1日前修复。 综合评分： 85 文章分类： 威胁情报,APT事件,漏洞分析,恶意软件,网络安全

俄罗斯APT组织利用Zimbra XSS漏洞CVE-2025-66376攻击乌克兰

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月20日 09:03 湖北

导读

与俄罗斯有关联的威胁组织利用了 Zimbra Collaboration 中一个高危 XSS 漏洞（编号CVE-2025-66376，CVSS 评分 7.2）。攻击者利用未经充分清理的 HTML 电子邮件，在用户打开邮件时运行脚本，攻击目标为乌克兰用户。

该漏洞是经典用户界面中的一个存储型跨站脚本攻击 (XSS) 漏洞，攻击者可以利用该漏洞滥用电子邮件 HTML 中的 CSS @import 指令。攻击者可以利用此漏洞控制用户的电子邮件帐户，并危及整个 Zimbra 环境。

Synacor 通过发布 Zimbra 版本 10.1.13 和 10.0.18 解决了该缺陷。

据网络安全公司Seqrite Labs称，一个与俄罗斯有关联的APT组织（很可能是APT28 ，又名UAC-0001、  Fancy Bear、  Pawn Storm、 Sofacy Group、  Sednit、BlueDelta和 STRONTIUM）利用Zimbra漏洞攻击了乌克兰境内的实体。

攻击者在钓鱼邮件中使用JavaScript，悄无声息地窃取了用户的凭证、会话令牌、双因素认证码、已保存的密码以及90天的邮箱数据。然后，他们通过DNS和HTTPS协议泄露了窃取的数据。

Seqrite Labs发布的报告指出：“攻击者利用社交工程手段发送实习申请邮件，并在邮件正文中嵌入混淆的JavaScript恶意代码。当受害者在存在漏洞的Zimbra网页邮件会话中打开该邮件时，攻击者会利用 CVE-2025-66376漏洞。 该漏洞是一个存储型跨站脚本攻击（XSS）漏洞，由HTML内容中CSS @import指令的清理不充分引起。”

报告还指出：“基于与Zimbra漏洞利用的技术重叠以及地缘政治目标一致性，我们有一定把握地评估认为，此次攻击活动与之前记录的 俄罗斯国家支持的 、针对乌克兰政府机构的入侵攻击手法相符。我们已将此情况报告给CERT-UA。”

1月22日，一家国家海事机构遭到攻击，攻击者使用了一个被盗用的学生邮箱。Seqrite Labs将此次攻击活动追踪并命名为“幽灵邮件行动”（Operation GhostMail）。

一封钓鱼邮件以乌克兰国家水文局（关键基础设施的一部分）为目标，利用被盗用的学生账户伪装成合法邮件。该邮件在HTML正文中隐藏了恶意JavaScript代码，利用了Zimbra的跨站脚本攻击漏洞（CVE-2025-66376）。

报告还指出：“基于与Zimbra漏洞利用的技术重叠以及地缘政治目标一致性，我们有一定把握地评估认为，此次攻击活动与之前记录的俄罗斯支持的 、针对乌克兰政府机构的入侵攻击手法相符。我们已将此情况报告给CERT-UA。”

攻击者在钓鱼邮件中使用JavaScript，悄无声息地窃取了用户的凭证、会话令牌、双因素认证码、已保存的密码以及90天的邮箱数据。然后，他们通过DNS和HTTPS协议泄露了窃取的数据。

一旦打开，该程序便会在用户会话中执行，窃取凭据、令牌、电子邮件和双因素身份验证 (2FA) 数据。该多阶段有效载荷利用 SOAP 请求、DNS 和 HTTPS 数据窃取，并启用持久访问，使攻击者能够监控帐户并提取长达 90 天的电子邮件。

该网络钓鱼活动的 C2 基础设施于 2026 年 1 月 20 日建立，使用了两个域名：

js-l1wt597cimk[.]i[.]zimbrasoft[.]com[.]ua

js-26tik3egye4[.]i[.]zimbrasoft[.]com[.]ua

历史模式显示，俄罗斯高级持续性威胁组织（APT）如Fancy Bear (APT28)、Cozy Bear (APT29)和Winter Vivern (TA473)曾以Zimbra为攻击目标，但此次攻击有所不同，它利用了需要用户交互的HTML电子邮件跨站脚本攻击（XSS）载荷，并结合了双通道数据窃取和结构化SOAP API滥用。

基于攻击目标和载荷与SpyPress.ZIMBRA的相似性，我们以中等置信度将“幽灵邮件行动”（Operation GhostMail）归因于APT28。

报告总结道：“针对乌克兰政府机构的网络攻击与该地区公共部门机构持续遭受的地缘政治网络攻击活动相符。虽然要最终确定攻击来源还需要进一步的基础设施或代码重叠验证，但所使用的技术与此前记录在案的俄罗斯国家支持的组织利用东欧网络邮件平台进行攻击的技术一致。”

周三，美国网络安全和基础设施安全局 (CISA) 将漏洞 CVE-2025-66376添加 到其已知利用漏洞目录中，并命令联邦机构在 2026 年 4 月 1 日之前解决该漏洞。

报告全文：

《“幽灵邮件行动”：俄罗斯APT组织利用Zimbra网络邮件攻击乌克兰国家机构》

https://www.seqrite.com/blog/operation-ghostmail-zimbra-xss-russian-apt-ukraine/

新闻链接：

Russian APT targets Ukraine via Zimbra XSS flaw CVE-2025-66376

今日安全资讯速递

APT事件

Advanced Persistent Threat

俄罗斯APT组织利用Zimbra XSS漏洞CVE-2025-66376攻击乌克兰

Russian APT targets Ukraine via Zimbra XSS flaw CVE-2025-66376

俄罗斯FancyBearAPT组织服务器泄露，暴露被盗凭证、双因素认证密码以及与北约相关的目标

FancyBear Server Exposure Reveals Stolen Credentials, 2FA Secrets and NATO-Linked Targets

美国联邦调查局查封两个与亲伊朗组织汉达拉有关联的网站

FBI Seizes Two Websites Linked to Pro-Iranian Group Handala

网络间谍活动日益猖獗，一款伪装成安全应用的间谍软件瞄准以色列人

https://www.cysecurity.news/2026/03/spyware-disguised-as-safety-app-targets.html

伊朗在“史诗级狂怒”行动前已做好网络攻击应对准备

https://www.securityweek.com/iran-readied-cyberattack-capabilities-for-response-prior-to-epic-fury/

伊朗浑水APT组织发起多波次间谍活动，目标直指外交官和关键基础设施

Boggy Serpens Targets Diplomats and Critical Infrastructure in Multi-Wave Espionage Campaign

一般威胁事件

General Threat Incidents

Speagle恶意软件劫持Cobra DocGuard，通过受感染的服务器窃取数据

https://thehackernews.com/2026/03/speagle-malware-hijacks-cobra-docguard.html

Horabot银行木马在墨西哥卷土重来，采用多阶段网络钓鱼和电子邮件蠕虫攻击策略

Horabot Banking Trojan Resurfaces in Mexico With Multi-Stage Phishing and Email Worm Tactics

54 个 EDR 攻击者利用 BYOVD 漏洞攻击 34 个已签名的易受攻击驱动程序，从而禁用安全功能

https://thehackernews.com/2026/03/54-edr-killers-use-byovd-to-exploit-34.html

“Vibe-Coded”恶意软件活动利用虚假工具、CDN和文件托管服务感染用户

‘Vibe-Coded’ Malware Campaign Uses Fake Tools, CDNs and File Hosts to Infect Users

恶意“Pyronut”软件包后门利用远程代码执行功能入侵Telegram机器人

Malicious ‘Pyronut’ Package Backdoors Telegram Bots With Remote Code Execution

漏洞事件

Vulnerability Incidents

DarkSword iOS漏洞利用工具包利用6个漏洞和3个零日漏洞实现设备完全控制 https://thehackernews.com/2026/03/darksword-ios-exploit-kit-uses-6-flaws.html

Ubiquiti UniFi 的关键漏洞使攻击者能够完全控制底层系统

Critical Ubiquiti UniFi Vulnerabilities Allow Attackers to Seize Full Control of Underlying Systems

CVE-2026-3342：WatchGuard Fireware OS 中存在严重越界写入漏洞

CVE-2026-3342: Critical Out-of-Bounds Write Vulnerability in WatchGuard Fireware OS

CVE-2026-3630：台达电子 COMMGR2 中的严重缓冲区溢出漏洞可导致远程代码执行

CVE-2026-3630: Critical Buffer Overflow in Delta Electronics COMMGR2 Enables Remote Code Execution

新的“PolyShell”漏洞允许未经身份验证的攻击者远程代码执行Magento网上商店攻击

https://www.bleepingcomputer.com/news/security/new-polyshell-flaw-allows-unauthenticated-rce-on-magento-e-stores/

CISA警告：Zimbra协作套件漏洞（CVE-2025-66376）已被攻击者利用

CISA Warns of Zimbra Collaboration Suite Vulnerability Exploited in Attacks

Claude漏洞允许数据泄露和用户重定向到恶意网站

Claude Vulnerabilities Allow Data Exfiltration and User Redirection to Malicious Sites

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《俄罗斯APT组织利用Zimbra XSS漏洞CVE-2025-66376攻击乌克兰》