388/68 (IT) ประจำวันอังคารที่ 7 ตุลาคม 2568
ทีมนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก StrikeReady Labs เปิดเผยว่า พบการโจมตี (In-the-Wild) ที่อาศัยช่องโหว่ Zero-Day ใน Zimbra Collaboration ที่หมายเลข CVE-2025-27915 (CVSS 5.4) มีเป้าหมายไปที่กองทัพบราซิล ผ่านไฟล์ปฏิทิน ICS ที่ฝังโค้ดอันตราย โดยผู้โจมตีปลอมแปลงอีเมลเป็นหน่วยงาน Office of Protocol ของกองทัพเรือลิเบีย แล้วแนบไฟล์ ICS ดังกล่าว เมื่อเหยื่อเปิดดู อีเวนต์ JavaScript ที่ซ่อนอยู่ภายใน <details> tag จะถูกเรียกใช้งานโดยตรง ทำให้ผู้โจมตีสามารถรันโค้ดในเซสชันของผู้ใช้ได้
จากการตรวจสอบพบว่า ไฟล์ ICS มีการฝัง JavaScript Data Stealer เพื่อดูดข้อมูลสำคัญ เช่น Credentials, อีเมล, รายชื่อผู้ติดต่อ และโฟลเดอร์แชร์ ก่อนส่งออกไปยังเซิร์ฟเวอร์ ffrk[.]net นอกจากนี้ยังค้นหาอีเมลในโฟลเดอร์เฉพาะ และเพิ่มกฎการกรองอีเมล (Email Filter Rules) ที่ชื่อ “Correo” เพื่อส่งต่อข้อความไปยังอีเมล spam_to_junk@proton[.]me โค้ดถูกออกแบบให้ซ่อนองค์ประกอบ UI และจะทำงานก็ต่อเมื่อผ่านไปอย่างน้อย 3 วัน เพื่อลดโอกาสถูกตรวจจับ
ช่องโหว่นี้ได้รับการแก้ไขแล้วเมื่อวันที่ 27 มกราคม 2025 ในเวอร์ชัน 9.0.0 Patch 44, 10.0.13 และ 10.1.5 แม้ใน Advisory จะไม่ได้กล่าวถึงการโจมตีในตอนแรก แต่กรณีนี้ถือเป็นหลักฐานยืนยันชัดเจน โดยก่อนหน้านี้มีรายงานว่ากลุ่ม APT28 ของรัสเซีย รวมถึงแฮกเกอร์กลุ่ม Winter Vivern และ UNC1151 (Ghostwriter) เคยใช้วิธีการคล้ายกันผ่านช่องโหว่ XSS ของระบบ Webmail อื่น ๆ เช่น Roundcube, Horde และ MDaemon เพื่อขโมยข้อมูลผู้ใช้งาน
แหล่งข่าว https://thehackernews.com/2025/10/zimbra-zero-day-exploited-to-target.html
