SchwachstellenHackerangriffePhishing

APT28 nutzt Zimbra-Lücke für Angriff auf ukrainische Behörde

APT28 nutzt Zimbra-Lücke für Angriff auf ukrainische Behörde
Zusammenfassung

Die russische Hackergruppe APT28, auch als Fancy Bear bekannt und vermutlich dem militärischen Geheimdienst Russlands zugeordnet, hat einen gezielten Angriff auf die Ukrainische Staatliche Hydrographische Behörde durchgeführt. Die Attacke nutzt eine kritische Sicherheitslücke in der weit verbreiteten Zimbra-Webmail-Software aus und zeigt ein neues, besonders raffiniertes Angriffsverfahren: Statt klassischer Phishing mit verdächtigen Anhängen oder Links wurde der komplette Exploit direkt in den HTML-Body einer E-Mail eingebettet, die als harmlose Praktikumsanfrage getarnt war. Sobald die E-Mail in einer aktiven Zimbra-Sitzung geöffnet wurde, konnte die Malware unbemerkt Login-Daten, Session-Token, Backup-Codes für die Zwei-Faktor-Authentifizierung und bis zu 90 Tage an Mailbox-Daten abgreifen. Für deutsche Unternehmen und Behörden ist dieser Vorfall hochrelevant, da Zimbra auch hierzulande verwendet wird und die Sicherheitslücke CVE-2025-66376 eine universelle Bedrohung darstellt. Die Attacke unterstreicht, dass auch etablierte und vertrauenswürdige Dienste zum Angriffsvektor werden können, wenn Schwachstellen nicht zügig gepatcht werden.

Die Angriffskampagne gegen die ukrainische Behörde zeigt neue Dimensionen in der Cyberkriminalität: Statt klassischer Phishing-Methoden setzten die Hacker auf eine raffiniertere Technik. Die Malware wurde als Cross-Site-Scripting-Angriff (XSS) über die Lücke CVE-2025-66376 in die E-Mail integriert und aktivierte sich stumm im Browser des Opfers, sobald dieses die E-Mail in einer aktiven Zimbra-Sitzung öffnete.

Die Täuschung war perfekt inszeniert: Gesendet wurde die Nachricht von einem scheinbar kompromittierten Studentenkonto, der Inhalt war auf Ukrainisch verfasst und fragte scheinbar harmlos nach einem Praktikum. Doch beim Öffnen der E-Mail führte der verborgene Code ein vollständiges Datenraub-Szenario durch. Die Angreifer konnten Anmeldedaten, Session-Tokens, Sicherungscodes für die Zwei-Faktor-Authentifizierung, im Browser gespeicherte Passwörter und bis zu 90 Tage an E-Mail-Daten abgreifen.

APT28 ist für solche gezielten Operationen bekannt. Die Gruppe, die mit Russlands militärischem Geheimdienst verbunden sein soll, hat eine lange Geschichte von Angriffen auf ukrainische und westliche Regierungsbehörden, Rüstungsunternehmen und Logistiknetzwerke. Im Januar wurde die Gruppe auch mit einer anderen Operation verknüpft, bei der bislang unbekannte Malware-Varianten namens BadPaw und MeowMeow zum Einsatz kamen.

Besonders alarmierend: Zimbra ist bereits mehrfach Ziel anderer russischer Hackergruppen wie APT29 und Winter Vivern geworden. Die Plattform wird von zahlreichen Unternehmen und Behörden im deutschsprachigen Raum genutzt und gilt als beliebtes Ziel für Spionagekampagnen gegen Organisationen in Osteuropa.

Für deutsche Institutionen bedeutet dieser Fall eine wichtige Warnung. Organisationen, die Zimbra einsetzen, sollten dringend prüfen, ob sie anfällig für CVE-2025-66376 sind, und die verfügbaren Sicherheitspatches einspielen. Gleichzeitig verdeutlicht der Angriff, dass klassische Sicherheitskonzepte an ihre Grenzen stoßen, wenn die Bedrohung direkt in vertrauenswürdigen Systemen eingebettet ist. Eine mehrschichtige Sicherheitsstrategie mit erweiterten E-Mail-Analysen und Endpoint-Detection-Systemen wird damit immer wichtiger.

Ähnliche Artikel