كشف باحثون استغلال مهاجمين لثغرة أمنية في نظام Zimbra Collaboration Suite (ZCS) في هجمات من نوع يوم الصفر عبر ملفات iCalendar في مطلع العام الجاري. وتتيح هذه الملفات، المعروفة بامتداد ICS، حفظ معلومات المواعيد والمهام وتبادلها بين تطبيقات التقويم المختلفة، لكنها تحولت في هذه الحالة إلى وسيلة تسلل متقدمة.
ظهرت الثغرة التي تحمل الرمز CVE-2025-27915، وتُصنف ضمن فئة XSS، في إصدارات ZCS 9.0 و10.0 و10.1، حيث مكنت المهاجمين من إدخال تعليمات جافا سكريبت خبيثة داخل ملفات التقويم، بسبب ضعف آلية تنقية محتوى HTML في النظام. وأدى ذلك إلى إمكانية تنفيذ شيفرة ضارة داخل جلسة المستخدم المستهدف، ما سمح للمهاجمين بإضافة فلاتر لإعادة توجيه الرسائل إلى حساباتهم أو سرقة بيانات الدخول.
أصدرت Zimbra تحديثاً أمنياً في 27 يناير لسد الثغرة ضمن الإصدارات 9.0.0 P44 و10.0.13 و10.1.5، دون الإشارة في البداية إلى وجود استغلال نشط. غير أن شركة StrikeReady، المتخصصة في أنظمة إدارة التهديدات والعمليات الأمنية المدعومة بالذكاء الاصطناعي، رصدت الهجوم بعد ملاحظة ملفات ICS تتجاوز 10 كيلوبايت وتحتوي على تعليمات جافا سكريبت مشفرة.
وأوضحت StrikeReady أن الحملة بدأت أوائل يناير، أي قبل إصدار التحديث، وأن المهاجمين أرسلوا رسالة بريد إلكتروني مزيفة تنتحل هوية مكتب المراسم في البحرية الليبية، واستخدموها لاستهداف مؤسسة عسكرية في البرازيل عبر ملف ICS خبيث مشفر بتقنية Base64.
وأظهرت تحليلات الشركة أن الحمولة البرمجية مصممة لسرقة بيانات من واجهة Zimbra Webmail، تشمل بيانات الدخول، والرسائل، وقوائم الاتصال، والمجلدات المشتركة. ونفذ المهاجمون الشيفرة في وضع غير متزامن باستخدام مجموعة من الدوال التنفيذية الفورية، بما مكنها من تنفيذ مهام متعددة، أبرزها:
- إنشاء حقول مخفية لجمع أسماء المستخدمين وكلمات المرور.
- سرقة بيانات الاعتماد من نماذج تسجيل الدخول.
- مراقبة نشاط المستخدمين وتسجيل خروج غير النشطين لسرقة بياناتهم.
- استخدام واجهة Zimbra SOAP API للبحث في الرسائل واسترجاعها.
- إرسال محتوى البريد إلى المهاجمين كل أربع ساعات.
- إنشاء فلتر باسم Correo لتحويل البريد إلى عنوان Proton.
- جمع بيانات النسخ الاحتياطي والاعتمادات وتصديرها.
- تسريب قوائم الاتصال والمجلدات المشتركة.
- تأخير التنفيذ 60 ثانية، وعدم تكراره إلا بعد مرور 3 أيام، وإخفاء عناصر الواجهة لتقليل الانتباه.
ورغم أن StrikeReady لم تنسب الهجوم بشكل قاطع إلى جهة معروفة، فإنها أشارت إلى أن عدداً محدوداً من المهاجمين يمتلك القدرة على اكتشاف ثغرات من هذا النوع في أنظمة مستخدمة على نطاق واسع، ملمحة إلى مجموعات على صلة بروسيا. كما لاحظت الشركة تشابهاً في أساليب العمل مع الهجمات التي تنسب إلى مجموعة UNC1151 المرتبطة بالحكومة البيلاروسية وفق تقارير شركة Mandiant.
تقرير StrikeReady تضمن مؤشرات اختراق ونسخة مفككة من الشيفرة الخبيثة المستخدمة في الهجوم عبر ملفات ICS. وفي تعليق لاحق، أوضحت Zimbra أن الهجمات لا تبدو واسعة الانتشار، ودعت المستخدمين إلى اتخاذ إجراءات وقائية تشمل مراجعة فلاتر البريد لرصد أي تغييرات غير مصرح بها، وتحديث النظام إلى آخر إصدار، وفحص مخزن الرسائل لاكتشاف ملفات ICS المشفّرة، إضافة إلى مراقبة حركة الشبكة لرصد أي اتصالات مشبوهة.
