كشفت تقارير أمنية حديثة عن إطلاق جهة فاعلة مرتبطة بدولة روسيا لهجوم سيبراني متطور يستهدف جهة حكومية أوكرانية، مستغلة ثغرة أمنية في منصة Zimbra Collaboration Suite. يهدف هذا الهجوم، الذي أُطلق عليه اسم “عملية GhostMail”، إلى سرقة بيانات الاعتماد ورسائل البريد الإلكتروني الحساسة.
تتميز هذه العملية بندرتها لغياب أي مؤشرات هجوم تقليدية، فلا توجد مرفقات ملفات خبيثة، ولا روابط مشبوهة، ولا وحدات ماكرو. وقد تلقت الهيئة الحكومية الأوكرانية المعنية، وهي هيئة وطنية للبنية التحتية الحيوية تابعة لوزارة البنية التحتية الأوكرانية، بريدًا إلكترونيًا تصيديًا في 22 يناير 2026. تم صياغة الرسالة باللغة الأوكرانية، وتظاهرت بأنها استفسار حول تدريب داخلي من طالب مزعوم، بهدف الظهور بشكل ودي وغير مريب.
هجوم “عملية GhostMail” يستهدف الحكومة الأوكرانية عبر Zimbra
تبعًا لقيام الباحثين في Seqrite بتحديد الحملة بعد تحميل البريد الإلكتروني التصيدي إلى VirusTotal في 26 فبراير 2026، والذي لم يسجل أي اكتشافات في ذلك الوقت. احتوى جسم البريد الإلكتروني على حمولة جافاسكريبت مشفرة بصيغة Base64، مخبأة داخل كتلة div مع خاصية `display:none`. استغل الهجوم الثغرة CVE-2025-66376، وهي ثغرة XSS مخزنة في Zimbra Collaboration Suite، والتي تم إصلاحها في إصدارات ZCS 10.0.18 و 10.1.13 في نوفمبر 2025. تتضمن هذه الثغرة خللاً في معالجة محتوى HTML باستخدام توجيهات `@import` الخاصة بـ CSS. بمجرد أن قام الضحية بفتح البريد الإلكتروني في واجهة Zimbra الكلاسيكية مع جلسة مصادقة نشطة، تم تنفيذ الحمولة بصمت في المتصفح.
بناءً على التداخلات التقنية مع أنماط استغلال Zimbra الموثقة سابقًا والطبيعة الجيوسياسية للهدف، نسب الباحثون “عملية GhostMail” إلى مجموعة APT28 (المعروفة أيضًا باسم Fancy Bear) بثقة متوسطة. يتوافق استهداف جهة حكومية أوكرانية مسؤولة عن البنية التحتية البحرية والهيدرولوجية مع العمليات السيبرانية التي ترعاها الدولة الروسية والتي لوحظت ضد مؤسسات القطاع العام وسط الصراع المستمر.
آلية الإصابة المكونة من مرحلتين
عمل الهجوم على مرحلتين واضحتين، كلاهما يعمل بالكامل داخل متصفح الضحية دون كتابة أي بيانات على القرص. في المرحلة الأولى، قامت حمولة جافاسكريبت أولاً بالتحقق مما إذا كان نص برمجي بمعرف “zmb_pl_v3_” قيد التشغيل بالفعل، لمنع الحقن المزدوج. بعد ذلك، قامت بفك تشفير حمولة Base64 باستخدام الدالة `atob()` وطبقت فك تشفير XOR بالمفتاح “twichcba5e” لفك حزمة حمولة جافاسكريبت النهائية. تم حقن هذا النص البرمجي المفكوك في المستند ذي المستوى الأعلى، متجاوزًا صندوق العزل الخاص بالبريد الإلكتروني على الويب واكتساب وصول كامل إلى ملفات تعريف الارتباط للمتصفح، و localStorage، وحقوق SOAP API من أصل واحد.
قدمت المرحلة الثانية كامل أداة سرقة بيانات المتصفح، والتي بدأت بإنشاء رمز مميز فريد مكون من 12 حرفًا أبجديًا رقميًا لكل ضحية، والذي تم استخدامه كمعرف في كل طلب قيادة وتحكم (C2). كان نطاق C2 الثابت هو `zimbrasoft[.]com[.]ua`، والذي تم تسجيله في 20 يناير 2026، قبل يومين من وصول البريد الإلكتروني التصيدي. تم إطلاق تسع عمليات لجمع البيانات بالتوازي، مما زاد من حجم البيانات التي تم الحصول عليها خلال جلسة متصفح واحدة. التقطت هذه العمليات محتوى البريد الإلكتروني، وتكوين الخادم، ورموز CSRF، وملفات تعريف الأجهزة المحمولة، وإذن تطبيقات OAuth، ورموز المصادقة الثنائية الاحتياطية، وبيانات الاعتماد التي تم ملؤها تلقائيًا في المتصفح.
من جهة أخرى، قام الهجوم بتفعيل الوصول إلى IMAP بصمت في حساب الضحية وأنشئ كلمة مرور مخصصة للتطبيقات باسم “ZimbraWeb”، مما منح المهاجم وصولاً دائمًا إلى صندوق البريد يمكنه البقاء حتى بعد إعادة تعيين كلمة المرور بالكامل. يتطلب الأمر من المؤسسات التي تستخدم Zimbra التحديث الفوري من الإصدار 8.8.15 إلى الإصدار 10.1.x على الأقل. يجب على المسؤولين مراجعة جميع الحسابات بحثًا عن كلمات مرور مخصصة للتطبيقات باسم “ZimbraWeb” وإلغائها فورًا. كما ينصح بتطبيق مراقبة SOAP API، حيث أن استدعاءات `GetScratchCodesRequest` و `CreateAppSpecificPasswordRequest` نادرة الاستخدام في الظروف العادية وتستدعي تحققًا فوريًا.
إضافة إلى ذلك، يجب فرض تصفية DNS على نطاقات مؤشرات التهديد (IOCs) المحددة، وتعطيل الوصول إلى IMAP أو POP3 للحسابات التي ليس لديها حاجة واضحة للعمل. يجب على الموظفين أيضًا فهم أن بريدًا إلكترونيًا يبدو نظيفًا بدون مرفقات أو روابط خارجية يمكنه تقديم حمولة خبيثة كاملة مخبأة داخل جسم HTML الخاص به.