Rus Hackerlar Zimbra Açığı ile Ukrayna Denizcilik Ajansını Hackledi
Rusya destekli APT28 grubu, Ukrayna Denizcilik Hizmeti'ne sızmak için Zimbra'daki CVE-2025-66376 XSS açığını istismar etti. Saldırı, e-posta gövdesine gömülü exploit ile 90 günlük posta verisi çaldı.
Rusya destekli devlet hacker grubu APT28 (Fancy Bear), Ukrayna'nın kritik denizcilik altyapısına sızmak için Zimbra e-posta yazılımındaki bir güvenlik açığını istismar etti.
Sessiz Saldırı: E-posta İçinde Gizlenen Exploit
Seqrite güvenlik araştırmacıları, saldırının geleneksel kimlik avı kampanyalarından farklı olduğunu vurguluyor. Saldırganlar ne kötü amaçlı ek ne de şüpheli linkler kullanmadı. Bunun yerine, tüm exploit zinciri, Ukrayna dilinde yazılmış rutin bir staj başvurusu gibi görünen tek bir e-postanın HTML gövdesine gömülmüştü.
"Kimlik avı e-postasında kötü amaçlı ek, şüpheli link veya makro yok," diye açıkladı araştırmacılar. "Tüm saldırı zinciri, tek bir e-postanın HTML gövdesinin içinde yaşıyor."
CVE-2025-66376: Cross-Site Scripting Açığı İstismar Edildi
Saldırganlar, CVE-2025-66376 olarak takip edilen cross-site scripting (XSS) kusurundan yararlandı. Bu açık, saldırganların Zimbra'nın tarayıcı tabanlı arayüzü üzerinden görüntülenen bir e-postaya doğrudan kötü amaçlı kod enjekte etmesine olanak tanıdı.
Saldırı, Ocak ayında tehlikeye atılmış bir öğrenci hesabından gönderildi. Hedef, Ukrayna'nın denizcilik navigasyonu ve diğer kritik altyapı hizmetlerinde rol oynayan State Hydrographic Service of Ukraine idi.
90 Günlük Posta Kutusu Verisi Çalındı
Kurban, e-postayı aktif bir Zimbra oturumunda açtığında, kötü amaçlı kod kurbanın tarayıcısında sessizce çalıştı ve saldırganlara şu verileri toplama imkanı sağladı:
- Giriş kimlik bilgileri ve oturum tokenları
- İki faktörlü kimlik doğrulama (2FA) kodları
- Tarayıcıda saklanan parolalar
- 90 güne kadar posta kutusu verisi
Saldırganlar, payload'ı doğrudan e-postaya gömerek ve güvenilir bir webmail ortamını istismar ederek, kötü amaçlı yazılım dağıtmadan veya geleneksel güvenlik savunmalarını tetiklemeden kimliği doğrulanmış oturumları ele geçirebildi.
APT28'in Ukrayna Hedefli Saldırıları Devam Ediyor
APT28, uzun zamandır Ukrayna ve Batı hükümet kuruluşlarını, savunma müteahhitlerini ve lojistik ağlarını siber casusluk kampanyalarında hedef alıyor. Bu ayın başında araştırmacılar, grubu BadPaw ve MeowMeow olarak bilinen önceden beldigestirilmemiş malware suşlarını içeren başka bir Ukrayna hedefli operasyonla da ilişkilendirdi.
Zimbra webmail yazılımı, APT29 ve Winter Vivern gibi diğer Rusya bağlantılı hacker grupları tarafından Doğu Avrupa kuruluşlarına karşı casusluk kampanyalarında tekrar tekrar hedef alındı.
Kaynak: therecord.media
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.