SchwachstellenHackerangriffeCloud-Sicherheit

Russische Hacker nutzen Zimbra-Lücke für Angriffe auf ukrainische Behörden

Russische Hacker nutzen Zimbra-Lücke für Angriffe auf ukrainische Behörden
Zusammenfassung

Die russische Hackergruppe APT28, die mit dem russischen Geheimdienst GRU verbunden ist, nutzt eine kritische Sicherheitslücke in der Zimbra Collaboration Suite aus, um ukrainische Regierungsbehörden anzugreifen. Die Schwachstelle CVE-2025-66376 ermöglicht es unauthentifizierten Angreifern, durch ein Stored-XSS-Angriff Remote-Code-Execution zu erlangen und damit Zimbra-Server sowie Emailkonten zu kompromittieren. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die Lücke bereits in ihre Liste der aktiv ausgenutzten Schwachstellen aufgenommen und forderte Federal-Behörden auf, ihre Server innerhalb von zwei Wochen zu sichern. Sicherheitsforscher dokumentierten, dass APT28 die Schwachstelle in der Operation GhostMail gezielt gegen ukrainische Infrastruktureinrichtungen einsetzt – unter anderem gegen die ukrainische Staatshydrografie-Agentur. Die Angriffe erfolgen über raffinierte Phishing-E-Mails mit eingebettetem JavaScript-Payload, das Anmeldedaten, Session-Token, 2FA-Codes und 90 Tage alte Mailbox-Inhalte stiehlt. Für deutsche Nutzer und Unternehmen ist dies relevant, da Zimbra weltweit verbreitet ist und mehrere Behörden nutzen. Die wiederholten Angriffe auf Zimbra-Systeme durch russische Geheimdienste unterstreichen die Notwendigkeit dringender Sicherheitsupdates.

Die russische Geheimdienst-nahe Hackergruppe APT28, auch als “Fancy Bear” oder “Strontium” bekannt, führt derzeit Angriffe gegen ukrainische Regierungsziele durch. Sicherheitsforscher von Seqrite Labs dokumentierten die Kampagne unter dem Namen “Operation GhostMail” und zeigten, wie die Angreifer die Zimbra-Schwachstelle CVE-2025-66376 ausnutzen.

Die Attacke erfolgt über raffinierte Phishing-E-Mails, die ohne verdächtige Anhänge, Links oder Makros auskommen. Stattdessen verbirgt sich der gesamte Angriffsablauf im HTML-Body einer einzigen E-Mail. Öffnet das Opfer die Nachricht in einer anfälligen Zimbra-Webmail-Session, wird ein verschleiertes JavaScript-Skript ausgeführt, das die CVE-2025-66376-Lücke ausnutzt.

Das Skript arbeitet im Verborgenen ab: Es stiehlt Zugangsdaten, Session-Tokens, Sicherungs-Codes von Zwei-Faktor-Authentifizierung sowie im Browser gespeicherte Passwörter. Besonders kritisch ist die Exfiltration des kompletten Mailbox-Inhalts der letzten 90 Tage. Die gestohlenen Daten werden über DNS und HTTPS abgeleitet.

Als konkretes Ziel ist die Ukrainische Staatliche Hydrologische Agentur dokumentiert — eine kritische Infrastruktur unter dem Ministerium für Infrastruktur. Dies unterstreicht die strategische Ausrichtung der Angriffe auf bedeutende staatliche Institutionen.

Zimbra ist nicht erstmals im Visier russischer Hackerbanden. Im Februar 2023 nutzte die Gruppe “Winter Vivern” eine ähnliche XSS-Schwachstelle zur Spionage gegen NATO-Organisationen, Diplomaten und Militärpersonal. Auch APT29, die dem russischen Geheimdienst SVR zugeordnet wird, führte 2024 Massenattacken auf Zimbra-Server durch.

Die Behörde CISA hat CVE-2025-66376 nun in ihren Katalog aktiv genutzter Schwachstellen aufgenommen und US-Bundesbehörden ein Ultimatum gesetzt: Patchen innerhalb von zwei Wochen. Dies unterstreicht die Kritikalität der Lücke.

Für deutsche Organisationen, die Zimbra einsetzen, empfiehlt sich sofortige Überprüfung des Patch-Status. Zimbra wird weltweit von Hunderten Millionen Nutzern, darunter Hunderte Regierungsbehörden und Tausende Unternehmen, verwendet. Die Kombination aus hoher Kritikalität, breiter Verbreitung und aktiver Ausbeutung macht diesen Fall zu einer der aktuellen Top-Prioritäten in der Cybersicherheit.

Ähnliche Artikel