概要
研究者たちは、Zimbra Collaboration Suite (ZCS) のゼロデイ脆弱性 (CVE-2025-27915) が、iCalendarファイル(.ICSファイル)を悪用した攻撃に利用されていたことを発見しました。この攻撃は、Zimbraが公式パッチをリリースする前の今年初めから開始されていたとされています。
脆弱性の詳細
悪用されたのは、ZCS 9.0、10.0、および10.1に存在するクロスサイトスクリプティング (XSS) 脆弱性であるCVE-2025-27915です。この脆弱性は、ICSファイル内のHTMLコンテンツのサニタイズが不十分であったことに起因します。攻撃者は、この欠陥を利用して、被害者のセッション内で任意のJavaScriptを実行し、例えばメッセージを攻撃者にリダイレクトするフィルターを設定することが可能でした。
攻撃の手口
AI駆動型セキュリティ運用・脅威管理プラットフォームを開発するStrikeReadyの研究者たちは、10KBを超えるJavaScriptコードを含む.ICSファイルを監視することで、この攻撃を発見しました。彼らの分析によると、攻撃はZimbraがパッチ(ZCS 9.0.0 P44、10.0.13、10.1.5)を2025年1月27日にリリースする前の1月初旬に始まっていました。
攻撃者は、リビア海軍のプロトコルオフィスを装ったメールを送信し、ブラジルの軍事組織を標的としました。悪意のあるメールには、Base64エンコードで難読化されたJavaScriptファイルを含む00KBのICSファイルが添付されていました。
ペイロードの機能
研究者たちの分析によると、このペイロードはZimbra Webmailから認証情報、メール、連絡先、共有フォルダなどのデータを窃取するように設計されています。悪意のあるコードは非同期モードで、複数の即時実行関数式 (IIFE) 内で実行されるように実装されており、以下の動作を実行できます。
- 隠しユーザー名/パスワードフィールドの作成
- ログインフォームからの認証情報の窃取
- ユーザーアクティビティ(マウスとキーボード)の監視と、非アクティブユーザーのログアウトによる窃取のトリガー
- Zimbra SOAP APIを使用してフォルダを検索し、メールを取得
- 攻撃者へのメールコンテンツの送信(4時間ごとに繰り返される)
- メールをProtonアドレスに転送するための「Correo」というフィルターの追加
- 認証/バックアップアーティファクトの収集と外部への持ち出し
- 連絡先、配布リスト、共有フォルダの外部への持ち出し
- 実行前に60秒の遅延を追加
- 3日間の実行ゲートを適用(前回の実行から3日以上経過した場合にのみ再実行)
- 視覚的な手がかりを減らすためにユーザーインターフェース (UI) 要素を非表示
対策と帰属
Zimbraは2025年1月27日にパッチをリリースしましたが、当初は活発な悪用活動については言及していませんでした。StrikeReadyは、この攻撃を特定の既知の脅威グループに高い確度で帰属させることはできませんでしたが、同様の戦術、技術、手順 (TTP) が、ベラルーシ政府と関連付けられているUNC1151に起因する攻撃で観察されていると指摘しています。また、「ロシア関連グループ」が広く使用されている製品のゼロデイ脆弱性を発見するのに特に多作であることにも言及しています。
StrikeReadyのレポートには、侵害の痕跡 (IoC) と、攻撃で利用されたJavaScriptコードの難読化解除版が共有されています。