Новая атака через календарные файлы .ICS эксплуатирует уязвимость в Zimbra

В начале 2025 года была обнаружена целенаправленная атака на военные структуры Бразилии с использованием ранее неизвестной уязвимости в Zimbra Collaboration Suite. Злоумышленники, маскировавшиеся под представителей протокольного отдела ВМС Ливии, рассылали целевые фишинговые письма с IP-адреса 193.29.58[.]37, содержащие вредоносный файл календаря .ICS, который эксплуатировал уязвимость CVE-2025-27915.

Описание

Особенностью данной кампании стало прямое использование уязвимости в почтовом клиенте через вложение, что является относительно редким вектором атаки. Хотя злоумышленники регулярно компрометируют серверы систем collaboration и используют их как приманку, непосредственная эксплуатация уязвимости через email-вложение представляет значительный интерес для исследователей безопасности.

Техника обнаружения атаки основывалась на мониторинге файлов .ICS размером более 10 КБ, содержащих JavaScript-код. Такой подход позволил исследователям выявить подозрительную активность благодаря редкости подобных случаев.

Анализ вредоносного кода показал сложную многоэтапную структуру с использованием обфускации. После декодирования base64 и первоначальной деобфускации с помощью инструментов типа Obfuscator.io Deobfuscator исследователям потребовалось провести значительную ручную работу по анализу кода, включая переименование переменных и функций для понимания логики работы нагрузки.

Функциональность вредоносного скрипта представляет собой комплексный сборщик данных, ориентированный на Zimbra Webmail. Код реализован в асинхронном режиме с использованием Immediately Invoked Function Expressions (IIFE) и включает несколько ключевых возможностей.

Среди механизмов уклонения от обнаружения стоит отметить добавление 60-секундной задержки перед выполнением кода, ограничение частоты выполнения до одного раза в три дня, а также скрытие элементов пользовательского интерфейса, таких как InvHeaderTable, для снижения видимости атаки.

Основные функции вредоносного скрипта включают кражу учетных данных через создание скрытых полей ввода, мониторинг активности пользователя с последующей кражей данных при неактивности, регулярный сбор электронной почты с повторением каждые 4 часа, а также установку злонамеренных правил фильтрации для пересылки писем на адрес spam_to_junk[@]proton[.]me.

Интересной деталью является использование в коде испанского слова "Correo" для названия фильтра, тогда как в Бразилии, где говорят на португальском, традиционно используется написание "Correio".

Дополнительные модули отвечают за кражу скретч-кодов, доверенных устройств, паролей приложений, контактов, списков рассылки и общих папок. Все собранные данные отправляются на сервер злоумышленников через POST-запросы с использованием режима "no-cors".

Эксплуатация XSS-уязвимостей, традиционно считавшихся менее опасными по сравнению с уязвимостями удаленного выполнения кода, в данном случае демонстрирует свою эффективность для достижения целей кибершпионажа. Аналитики безопасности отмечают, что лишь небольшая группа злоумышленников обладает достаточной квалификацией для поиска и эксплуатации подобных 0-day уязвимостей, причем российско-аффилированные группы демонстрируют особую активность в этой области.

Данный инцидент подчеркивает важность своевременного обновления систем collaboration и реализации дополнительных мер мониторинга необычной активности, особенно в контексте целевых атак на государственные и военные организации.