Brazil napadnut: Hakovani vojni sistemi

Sigurnosni istraživači otkrili su ozbiljnu ranjivost u Zimbra Collaboration softveru koja je iskorištena u ciljanim napadima na brazilske vojne sisteme. Napad je izveden putem do tada nepoznate “zero-day” greške označene kao CVE-2025-27915.

Napadači su ubacivali zlonamjerni JavaScript kod kroz lažne kalendarske (ICS) fajlove. Kada bi korisnik otvorio mejl sa priloženim fajlom, maliciozni kod bi se izvršavao u okviru Zimbra sesije, omogućavajući hakerima pristup mejlovima, kontaktima, lozinkama, pa čak i preusmjeravanje dolaznih poruka na svoje adrese.

Napad je bio pažljivo planiran – napadači su se predstavljali kao zvaničnici libijske mornarice i slali ICS fajlove koji su automatski postavljali mejl filtere pod nazivom “Correo” za prosljeđivanje poruka na spam_to_junk@proton.me. Skripta je imala i mehanizme prikrivanja, poput odlaganja aktivacije i skrivanja elemenata korisničkog interfejsa, kako bi napad duže ostao neprimijećen.

Iako je Zimbra već objavila zakrpe za verzije 9.0.0 Patch 44, 10.0.13 i 10.1.5, tek sada se otkriva da je propust bio aktivno iskorišten. Sigurnosni stručnjaci upozoravaju korisnike da instaliraju najnovije zakrpe i provjere podešene mejl filtere kako bi otkrili moguće kompromitiranje.

Napad ukazuje na stalnu prijetnju XSS ranjivosti, koje su ranije koristile grupe povezane sa Rusijom, poput APT28 i Ghostwriter (UNC1151), u ciljanju Zimbra i drugih web mejl sistema.