現在修正されたGoogle Chromeのセキュリティ欠陥が、TaxOffとして知られる脅威アクターによってゼロデイとして悪用され、Trinperというコードネームのバックドアを展開しました。
2025年3月中旬にPositive Technologiesによって観察されたこの攻撃は、CVE-2025-2783(CVSSスコア: 8.3)として追跡されるサンドボックスエスケープの脆弱性を利用していました。
Googleはその月の後半に、KasperskyがOperation ForumTrollと名付けたキャンペーンでの実際の悪用を報告した後、この欠陥に対処しました。このキャンペーンは、さまざまなロシアの組織を標的にしていました。
“最初の攻撃ベクターは、悪意のあるリンクを含むフィッシングメールでした,” セキュリティ研究者のStanislav PyzhovとVladislav Luninは述べました。 “被害者がリンクをクリックすると、ワンクリックエクスプロイト(CVE-2025-2783)がトリガーされ、TaxOffによって使用されるTrinperバックドアのインストールに至りました。”
フィッシングメールは、Kasperskyが詳述したのと同じ誘引であるPrimakov Readingsフォーラムへの招待を装っていたと言われており、ユーザーにエクスプロイトをホストする偽のウェブサイトへのリンクをクリックするよう促していました。
TaxOffは、ロシアのサイバーセキュリティ会社によって2024年11月下旬に初めて文書化されたハッキンググループの名前であり、法務および財務関連のフィッシングメールを使用してTrinperを配信するために国内の政府機関を標的にしていました。
C++で書かれたこのバックドアは、マルチスレッドを使用して被害者のホスト情報をキャプチャし、キーストロークを記録し、特定の拡張子(.doc, .xls, .ppt, .rtf, .pdf)に一致するファイルを収集し、リモートサーバーと接続してコマンドを受信し、実行結果を流出させます。
コマンド・アンド・コントロール(C2)サーバーから送信される指示は、インプラントの機能を拡張し、ファイルの読み書き、cmd.exeを使用したコマンドの実行、リバースシェルの起動、ディレクトリの変更、および自身のシャットダウンを可能にします。
“マルチスレッドは、高度な並列性を提供し、バックドアを隠しながらデータの収集と流出、追加モジュールのインストール、C2との通信を維持する能力を保持します,” とLuninはその時に述べました。
Positive Technologiesは、2025年3月中旬の侵入に関する調査が、2024年10月に遡る別の攻撃の発見につながったと述べました。この攻撃もまた、”現代世界における連邦国家の安全”という国際会議への招待を装ったフィッシングメールで始まりました。
メールメッセージにはリンクも含まれており、Windowsショートカットを含むZIPアーカイブファイルをダウンロードし、最終的にはデコイドキュメントを提供しながら、オープンソースのDonutローダーを介してTrinperバックドアを起動するローダーをドロップしました。攻撃のバリエーションでは、DonutローダーをCobalt Strikeに置き換えることが確認されています。
この攻撃チェーンは、Team46として追跡される別のハッキンググループの戦術といくつかの類似点を共有しており、2つの脅威活動クラスターが同一である可能性を示唆しています。
興味深いことに、Team46の攻撃者によって1か月前に送信された別のフィッシングメールセットは、モスクワに拠点を置く通信事業者Rostelecomからのものであると主張し、昨年のメンテナンス停止を受信者に警告していました。
これらのメールにはZIPアーカイブが含まれており、ショートカットを埋め込み、PowerShellコマンドを起動して、鉄道貨物業界の無名のロシア企業を標的にした攻撃で以前に使用された別のバックドアを配信するローダーを展開しました。
Doctor Webによって詳述された2024年3月の侵入は、Yandex BrowserのDLLハイジャック脆弱性(CVE-2024-6473, CVSSスコア: 8.4)をゼロデイとして武器化し、未指定のマルウェアをダウンロードして実行するペイロードの1つが注目されました。これは2024年9月にリリースされたバージョン24.7.1.380で解決されました。
“このグループはゼロデイエクスプロイトを利用しており、より効果的に安全なインフラストラクチャに侵入することができます,” と研究者たちは述べました。 “グループはまた、洗練されたマルウェアを作成および使用しており、長期的な戦略を持ち、侵害されたシステムに長期間の持続性を維持する意図があることを示唆しています。”
翻訳元: https://thehackernews.com/2025/06/google-chrome-zero-day-cve-2025-2783.html