استهدف فاعل تهديد غير معروف يتنكر في هيئة مكتب البروتوكول التابع للبحرية الليبية الجيش البرازيلي في وقت سابق من هذا العام باستخدام ملف تقويم ضار (ICS) لتسليم استغلال لثغرة يوم الصفر في مجموعة زيمبرا التعاونية.
تعتبر هذه التكتيك ملحوظًا لأنه يمثل استغلالًا مباشرًا نادرًا لأدوات التعاون مفتوحة المصدر مثل زيمبرا عبر مرفقات البريد الإلكتروني، بدلاً من الأساليب الأكثر شيوعًا مثل اختراق الخوادم أو طُعم التصيد، وفقًا للباحثين في مختبرات سترايك ريدي.
أعطى هذا الأسلوب الخصم وسيلة لتجاوز الدفاعات التقليدية وسرقة البيانات من خلال البرمجة النصية عبر المواقع المخزنة (XSS)، مما يبرز كيف أن الثغرات التي تبدو أقل أهمية يمكن أن تنافس تنفيذ التعليمات البرمجية عن بُعد (RCE) في حملات التجسس الواقعية.
“لقد تم اعتبار XSS غالبًا ثغرة ‘أقل’ مقارنةً بـ RCE،” أشار الباحثون. لكن الأمثلة مثل الهجوم الذي استهدف الجيش البرازيلي وتلك التي وثقتها جهات مثل برووف بوينت، ESET وسترايك ريدي نفسها سابقًا تُظهر أن “XSS يمكن أن تكون فعالة تمامًا في تحقيق الهدف.”
تمكين التجسس الإلكتروني عبر ثغرة XSS
اكتشفت سترايك ريدي الحملة أثناء مراقبتها لملفات ICS التي تزيد عن 10 كيلوبايت تحتوي على جافا سكريبت – وهو شيء نادر جدًا يسهل اكتشافه عندما يحدث. كان ملف ICS الضار مضمنًا في بريد إلكتروني يُزعم أنه من مكتب البروتوكول التابع للبحرية الليبية. احتوى على جافا سكريبت ضار مصمم لاستغلال CVE-2025-27915، وهي ثغرة XSS في عدة إصدارات من عميل الويب الكلاسيكي لزيمبرا.
أظهر تحليل سترايك ريدي أن الملف الضار كان عبارة عن سارق معلومات مصمم لاستخراج مجموعة واسعة من المعلومات الحساسة، بما في ذلك بيانات اعتماد المستخدم، والبريد الإلكتروني، وجهات الاتصال، والمجلدات المشتركة. تم إرسال البيانات المسروقة إلى خادم يتحكم فيه المهاجم. استخدم المهاجمون عدة طبقات من التعتيم، بما في ذلك تأخير لمدة 60 ثانية قبل تنفيذ الشيفرة، وتحديد إعادة التنفيذ مرة واحدة كل ثلاثة أيام لجعل الكشف أكثر صعوبة. كما أخفى المهاجمون عناصر واجهة المستخدم داخل زيمبرا نفسها لتقليل علامات التهديد المرئية. بالإضافة إلى ذلك، راقب ملف ICS الضار نشاط المستخدم وسرعان ما استخرج البيانات وسجل المستخدمين خارج النظام إذا كانوا غير نشطين لضمان التقاط بيانات اعتماد جديدة عند محاولتهم تسجيل الدخول مرة أخرى.
تتعلق الثغرة بعدم كفاية تطهير سياق HTML في ملفات التقويم. “عندما يرى المستخدم رسالة بريد إلكتروني تحتوي على إدخال ICS ضار، يتم تنفيذ جافا سكريبت المضمنة عبر حدث ontoggle داخل علامة <div>“، وفقًا للمعهد الوطني للمعايير والتكنولوجيا (NIST) في وصف الثغرة في قاعدة بيانات الثغرات الوطنية. “هذا يسمح للمهاجم بتشغيل جافا سكريبت عشوائي داخل جلسة الضحية، مما قد يؤدي إلى إجراءات غير مصرح بها مثل إعداد فلاتر البريد الإلكتروني لإعادة توجيه الرسائل إلى عنوان يتحكم فيه المهاجم.”
أصدرت زيمبرا إصدارًا محدثًا من البرنامج (ZCS 10.1.9) يحتوي على إصلاح للثغرة في يونيو، بعد أن استغلها المهاجم بالفعل كثغرة يوم صفر. “يقوي الإصلاح تطهير المدخلات ويعزز الأمان. يُنصح جميع العملاء بشدة بالترقية إلى أحدث إصدار من التصحيح على الفور،” لاحظت زيمبرا في ذلك الوقت.
حمولة برمجيات خبيثة متعددة الوظائف
تم تقسيم الحمولة نفسها إلى وظائف متعددة، كل منها يخدم غرضًا مميزًا. ركزت الوظيفة الأولى على سرقة بيانات الاعتماد ومراقبة نشاط المستخدم واستخراج البيانات الملتقطة بمجرد إدخالها. استهدفت الوظيفة الثانية سرقة البريد الإلكتروني، وكان لديها القدرة على البحث عبر المجلدات، واسترجاع محتوى الرسائل عبر واجهة برمجة تطبيقات SOAP الخاصة بزيمبرا وإرسال البيانات كل أربع ساعات إلى خادم يتحكم فيه المهاجم.
سمحت الوظيفة الثالثة للمهاجمين بالتلاعب بقواعد فلترة البريد الإلكتروني داخل زيمبرا. مكنت هذه القدرة من إعادة توجيه جميع الرسائل الواردة والصادرة إلى بريد خارجي، بينما استهدفت الوظيفة الرابعة بيانات المصادقة الحساسة للغاية. كانت الشيفرة، وفقًا لسترايك ريدي، قادرة على سرقة بيانات حساسة، بما في ذلك تفاصيل الأجهزة الموثوقة، وكلمات المرور الخاصة بالتطبيقات التي يمكن أن تساعد المهاجمين في تجاوز حماية المصادقة متعددة العوامل (MFA) وتوسيع وصولهم.
“إن استغلال زيمبرا، وروندكيوب، وأدوات التعاون مفتوحة المصدر المماثلة، مباشرة عبر البريد الإلكتروني، هو أمر نادر”، قالت سترايك ريدي. “على الرغم من أن الفاعلين يقومون باختراق الخوادم في حملات واسعة، وغالبًا ما يستغل المهاجمون هذه الأدوات كطُعم، فإن استغلال ثغرة فيها بمرفق بريد إلكتروني هو تهديد يستحق السحب عليه.”
بينما تجنبت نسب الفعل، وفقًا للشركة، هناك فقط مجموعة صغيرة جدًا من المهاجمين الذين يمكنهم العثور على ثغرات يوم الصفر في هذه الأدوات التعاونية. من بين الأكثر إنتاجية منهم مجموعة مرتبطة بروسيا تُعرف باسم UNC1151، حسبما قالت سترايك ريدي.
