資安公司StrikeReady Labs於10月7日發布分析報告，揭露不明威脅行為者偽裝成利比亞海軍協議辦公室，於2025年早些針對巴西軍方發動網路間諜攻擊，利用惡意ICS行事曆檔案嵌入JavaScript，觸發Zimbra協作套件的零日儲存式跨網站腳本（XSS）漏洞CVE-2025-27915，竊取用戶憑證、郵件、聯絡人及共享資料夾。此攻擊罕見直接透過附件利用開源協作工具，繞過傳統防禦，強調XSS漏洞在間諜行動中的實戰效能。Zimbra於6月發布修補版本10.1.9，但攻擊已發生。專家警告，台灣軍事及政府機構廣泛使用Zimbra，需立即檢查版本並強化郵件過濾，防範類似供應鏈攻擊導致資料外洩。

 

StrikeReady Labs在監控超過10KB的ICS檔案時發現此攻擊，該檔案嵌入惡意JavaScript，偽裝成利比亞海軍邀請巴西軍方參與「安全合作會議」的行事曆附件。當受害者開啟Zimbra Classic Web客戶端查看郵件時，JS透過標籤的ontoggle事件執行，觸發XSS漏洞。NIST國家漏洞資料庫描述，漏洞源於行事曆檔案HTML內容未充分消毒化，允許攻擊者於受害者會話中運行任意JavaScript，潛在設定郵件過濾器將訊息重定向至攻擊者控制地址。

 

惡意負載多功能設計，首功能聚焦憑證竊取及使用者活動監控，於輸入即時外洩資料至攻擊者伺服器。第二功能針對郵件竊取，搜尋資料夾，透過Zimbra SOAP API擷取訊息內容，每4小時外洩一次。第三功能操縱郵件過濾規則，將所有進出訊息重定向至外部Proton Mail帳戶。第四功能竊取高敏感驗證資料，包括信任裝置細節及應用特定密碼，助攻擊者繞過多因素驗證（MFA）擴大存取。負載使用多層混淆，包括60秒延遲執行、每3天限一次重複，以及隱藏Zimbra內使用者介面元素，減低視覺入侵跡象。若受害者不活躍，木馬快速外洩資料並登出，確保下次登入擷取新憑證。

 

StrikeReady研究員指出，此攻擊罕見直接透過附件利用Zimbra、Roundcube等開源工具，而非伺服器入侵或釣魚誘餌。「XSS常被視為次等漏洞，較RCE低，但如針對巴西軍方及Proofpoint、ESET、StrikeReady先前記錄案例，XSS在間諜行動中同樣有效。」報告強調，攻擊者使用開源腳本及工具，結合活在土地上技巧，側向移動並持久化。Zimbra於6月發布修補，強化輸入消毒化及安全，所有客戶強烈建議立即升級。

 

此攻擊凸顯XSS在實戰中的潛力，StrikeReady未歸因，但指出僅少數攻擊者能發現此類協作工具零日，如俄羅斯相關UNC1151團體。BleepingComputer報導，CVE-2025-27915影響Zimbra Classic Web客戶端多版本，公開後迅速利用。Security Affairs分析，ICS檔案作為載體罕見，但有效繞過郵件閘道，強調開源工具預設配置易受攻擊。The Hacker News指出，負載外洩至攻擊者伺服器，使用Proton Mail隱匿，顯示專業間諜水準。

 

台灣資安專家分析，此攻擊對本土軍事及政府機構威脅大。Zimbra廣泛用於台灣公部門郵件及協作，軍方及外交單位易成目標。行政院國家資通安全會報表示，將監測Zimbra相關威脅，呼籲用戶升級至10.1.9版本，檢查ICS附件及SOAP API使用。趨勢科技台灣區總經理洪偉淦受訪時指出：「XSS透過行事曆檔案隱形執行，凸顯開源工具供應鏈風險。台灣機構應部署WAF過濾JS注入，監控ontoggle事件，並實施零信任存取。」他建議，定期紅隊測試協作工具、整合SIEM偵測異常API呼叫，並教育員工驗證附件來源，防範類似利比亞偽裝攻擊導致機密外洩。

 

此事件與近期資安趨勢呼應，如Akira攻擊SonicWall VPN繞過MFA、Cisco零日漏洞遭國家級APT利用，顯示附件及開源工具成熱點。StrikeReady呼籲，組織監控ICS檔案大小及JS內容，驗證行事曆來源。台灣政府可借鏡，強化公部門協作工具審核，強制KEV漏洞修補。用戶防範之道包括：僅開啟信任來源行事曆、使用沙箱分析附件、啟用MFA及條件存取。隨著地緣衝突加劇，此類間諜攻擊料將頻發，台灣需加速防禦，確保數位安全。

出處：Dark Reading