文章总结： 疑似俄罗斯APT28组织利用Zimbra协作套件存储型XSS漏洞CVE-2025-66376（CVSS7.2）发起代号为幽灵邮件行动的定向攻击，目标锁定乌克兰关键基础设施部门。攻击者通过社会工程学伪装为实习咨询邮件，在受害者打开恶意HTML邮件时触发漏洞，静默窃取邮箱凭据、2FA令牌及近90天邮件数据，并经由DNS与HTTPS双信道外传。建议使用Zimbra的机构立即升级至10.1.13或10.0.18版本，联邦机构须在4月1日前完成修补。 综合评分： 62 文章分类： 威胁情报,漏洞分析,WEB安全,应急响应

疑似APT28组织利用Zimbra高危漏洞展开网络攻击活动

原创

BaizeSec BaizeSec

白泽安全实验室

2026年3月27日 09:01 北京

近日，国际网络安全领域曝出与俄罗斯相关的高级持续性威胁（APT）组织，正在利用Zimbra协作套件（ZCS）中的高危存储型跨站脚本（XSS）漏洞CVE-2025-66376，对目标机构实施定向网络攻击。该漏洞CVSS评分为7.2分，已被美国网络安全和基础设施安全局（CISA）列入在野已知被利用漏洞目录。

此次被攻击者利用的CVE-2025-66376漏洞，存在于Zimbra Collaboration的经典用户界面中，核心问题是对邮件HTML内容中CSS @import指令的过滤清理不充分。攻击者可通过构造恶意HTML邮件，在受害者使用存在漏洞的Zimbra网页邮箱打开该邮件时，自动触发脚本执行，进而接管用户邮箱账号，甚至攻陷整个Zimbra运行环境。Zimbra开发商Synacor已发布10.1.13和10.0.18两个版本，用于修复该漏洞。美国CISA已下发要求，明确联邦文职行政机构需在2026年4月1日前完成漏洞修补工作。

据网络安全厂商安全监测，此次攻击行动被命名为“幽灵邮件行动（Operation GhostMail）”。攻击方大概率为APT28组织——该组织又称Fancy Bear、Pawn Storm、Sofacy Group等，是俄罗斯国家级网络攻击力量的典型代表。攻击者采用社会工程学手段，以“实习咨询”为诱饵，将经过混淆处理的JavaScript恶意载荷直接嵌入邮件正文，借助被盗用的学生邮箱账号发送，以此伪装成合法通信，提升攻击的迷惑性和可信度。

此次攻击过程呈现多阶段、高隐蔽性特征：受害者在存在漏洞的Zimbra网页邮箱中打开恶意邮件后，CVE-2025-66376漏洞被瞬间触发。恶意脚本在用户会话中静默执行，暗中窃取邮箱登录凭据、会话令牌、双因素认证（2FA）码、浏览器保存的密码，以及近90天的邮箱全部数据。攻击者得手后，通过DNS与HTTPS双信道，将窃取的敏感数据外传至控制服务器。同时还会滥用SOAP API实现持久化访问，持续监控受害账号的一举一动。

本次攻击活动已精准命中乌克兰关键基础设施相关机构，其中乌克兰国家水文局、国家海事机构等政府部门，均被APT28组织列为重点攻击目标。从攻击特征来看，此次行动与过往俄罗斯APT组织针对东欧地区网页邮箱平台的攻击手法高度吻合，尽管目前仍需更多基础设施关联、代码重叠等证据完成最终归因，但结合攻击目标指向、恶意载荷特征及战术打法，安全厂商已以中等置信度，将此次“幽灵邮件行动”归为APT28组织所为。

与APT28（Fancy Bear）、APT29（Cozy Bear）、Winter Vivern（TA473）等俄系APT组织过往针对Zimbra的攻击相比，本次攻击有明显创新——首次采用需用户交互的HTML邮件XSS载荷，结合双信道数据外传、结构化SOAP API滥用等手段，大幅提升了攻击的隐蔽性与破坏力。也为全球所有使用Zimbra协作套件的机构，敲响了网络安全警钟。

参考链接：

Russian APT targets Ukraine via Zimbra XSS flaw CVE-2025-66376

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《疑似APT28组织利用Zimbra高危漏洞展开网络攻击活动》