郵件伺服器Zimbra的XSS漏洞遭濫用，APT28用於攻擊烏克蘭政府機關

漏洞背景與攻擊手法

美國網路安全暨基礎設施安全局（CISA）已將開源郵件伺服器系統Zimbra Collaboration Suite中CVE-2025-66376的已知漏洞列為「已遭利用的漏洞名單」（KEV）。該漏洞為跨網站指令碼（XSS）漏洞，可讓攻擊者在用戶端瀏覽器中執行惡意JavaScript指令碼。

資安公司Seqrite指出，此漏洞已被俄羅斯APT28駭客組織利用，針對烏克蘭政府機關發動攻擊。攻擊者透過發送包含隱藏JavaScript的單一HTML郵件，成功滲透烏克蘭州級機構，並竊取敏感資料。

APT28（又稱Fancy Bear、Forest Blizzard、Strontium）為俄羅斯駭客組織，長期針對政府與軍事目標進行間諜活動。根據ESET報告，該組織自2024年起重新啟動進階惡意程式開發團隊，並在攻擊烏克蘭政府與軍方時使用鍵盤側錄工具SlimAgent。

CERT-UA（烏克蘭電腦緊急應變小組）警告，APT28常偽裝成系統管理員發出釣魚郵件，以真實人名加上「@outlook.com」結尾，誘導目標人員點擊惡意連結。

攻擊範圍涵蓋烏克蘭多個政府機關與軍事相關單位，包括烏克蘭國家水文局等。攻擊者透過Zimbra郵件系統的XSS漏洞，成功注入惡意腳本，並進一步進行橫向移動與資料竊取。

此外，Zimbra的零日漏洞已被至少四個駭客組織利用，導致大量使用者的電子郵件資料、憑證與身份驗證權杖遭竊取，顯示該漏洞具有高度危險性。