SchwachstellenHackerangriffePhishing

Russische Hacker nutzen Zimbra-Lücke für Angriffe auf Ukraine aus

Russische Hacker nutzen Zimbra-Lücke für Angriffe auf Ukraine aus
Zusammenfassung

Russische Hackergruppen haben eine kritische Sicherheitslücke in der Collaboration-Software Zimbra ausgenutzt, um gezielt ukrainische Organisationen anzugreifen. Die Schwachstelle CVE-2025-66376 ermöglicht es Angreifern, durch mangelhaft bereinigten CSS-Code in HTML-E-Mails bösartige Skripte einzuschleusen, die automatisch ausgeführt werden, wenn Nutzer ihre E-Mails im Browser öffnen. Das Sicherheitsforschungsteam von Seqrite Labs hat die Kampagne „Operation GhostMail" dokumentiert und ordnet sie der russischen APT-Gruppe APT28 zu. Bei erfolgreicher Ausnutzung können die Angreifer Anmeldedaten, Session-Tokens, Zwei-Faktor-Authentifizierungscodes und Mailbox-Inhalte von bis zu 90 Tagen zurück abgreifen. Für Deutschland ist diese Bedrohung besonders relevant, da deutsche Unternehmen und Behörden ebenfalls Zimbra-Systeme nutzen und damit potenziell anfällig sind. Die US-Cybersecurity-Behörde CISA hat die Lücke in ihren Katalog aktiv ausgenutzer Schwachstellen aufgenommen und fordert bundesweit tätige Organisationen zur sofortigen Patcherstellung auf. Deutsche Organisationen sollten ihre Zimbra-Installationen auf die Versionen 10.1.13 oder 10.0.18 aktualisieren und ihre Sicherheitsvorkehrungen überprüfen.

Die entdeckte Schwachstelle CVE-2025-66376 mit einem CVSS-Score von 7,2 betrifft die Classic UI der Zimbra Collaboration Suite und wurde erstmals im November 2025 in den Versionen 10.1.13 und 10.0.18 behoben. Das Sicherheitsproblem liegt in der unzureichenden Filterung von CSS-Inhalten in HTML-E-Mails. Angreifer können dabei CSS-@import-Direktiven missbrauchen, um externe Ressourcen zu laden oder Inline-Scripts einzufügen, die beim Öffnen der E-Mail im Browser automatisch ausgeführt werden.

Die Sicherheitsexperten von Seqrite Labs berichten von einer Angriffskampagne namens “Operation GhostMail”, die sie APT28 zuordnen – einer hochentwickelten russischen Hackergruppe, bekannt auch unter den Namen Forest Blizzard, Fancy Bear und Sofacy. Diese Gruppe ist für ihre Verbindungen zu russischen Geheimdiensten bekannt und führt regelmäßig Spionagekampagnen durch.

Bei den beobachteten Attacken funktioniert das Angriffsschema perfide: Ein Phishing-Mail mit präpariertem HTML-Code wird dem Opfer zugeschickt. Sobald die E-Mail im Browser geöffnet wird, startet automatisch ein JavaScript, das im Hintergrund Daten stiehlt. Die Malware sammelt dabei Anmeldedaten, Session-Token, Zwei-Faktor-Authentifizierungscodes und sogar lokal gespeicherte Browser-Passwörter. Besonders kritisch: Sie exfiltriert alle Mailbox-Inhalte der letzten 90 Tage über DNS- und HTTPS-Kanäle.

Als konkretes Anschlagsziel wurde eine ukrainische kritische Infrastruktureinrichtung im Bereich maritime und hydrographische Unterstützung identifiziert. Der Phishing-Mail kam am 22. Januar 2025 vermeintlich von einem Studierenden der Nationalen Akademie für Innere Angelegenheiten (NAVS) in der Ukraine – was darauf hindeutet, dass die Angreifer auch kompromittierte zivile Konten für ihre Kampagnen nutzen.

Zimbra warnt darüber hinaus, dass die Collaboration Suite regelmäßig Ziel von Angriffsgruppen ist. Im Januar wurde bereits eine weitere kritische Local-File-Inclusion-Schwachstelle (LFI) in der Webmail-UI ausgenutzt. Sicherheitsexperten empfehlen allen Organisationen dringend, ihre Zimbra-Installationen sofort zu aktualisieren. Die US-Behörde CISA hat Bundesbehörden gesetzt, die Lücke innerhalb von zwei Wochen zu patchen – eine Frist, die auch für deutsche Behörden und kritische Infrastrukturen als Maßstab gelten sollte.

Ähnliche Artikel