2025年最初のChromeゼロデイの悪用が、Hacking Teamの新しいスパイウェアを使った攻撃で使用されたツールに関連していると、カスペルスキーが報告しています。
悪用されたChromeの脆弱性は、CVE-2025-2783として追跡されており、サンドボックス回避の問題と説明されています。この脆弱性は、国家支援型APTによる高度なサイバースパイ活動で野生下で発見されました。Firefoxも同様の脆弱性、CVE-2025-2857の影響を受けています。
「Operation ForumTroll」と名付けられたこのキャンペーンは、ロシアの教育、金融、政府、メディア、研究機関などを標的とし、フォーラム招待を装ったフィッシングメールを使って、被害者をCVE-2025-2783のエクスプロイトを含むウェブサイトに誘導する個別の短命リンクを配布していました。
このコードはユーザーを認証し、Chromeのサンドボックスを回避してシェルコードを実行し、マルウェアローダーのインストールにつなげるよう設計されていました。永続化のために、コードはユーザーのレジストリに新しいエントリを追加し、WindowsのCOMオブジェクトの検索順序を乗っ取っていました。
Operation ForumTrollにおいて、最終的なペイロードはLeetAgentというスパイウェアで、リー語で書かれており、HTTPS経由でコマンドを受信し、キーストロークを記録し、ファイルを盗むことができたと、カスペルスキーは最新のレポートで説明しています。
このスパイウェアは、Fastly.netのクラウドインフラ上にホストされたC&C(コマンド&コントロール)サーバーから受信したコマンドに基づき、コマンドプロンプトでのコマンド実行、プロセスの実行、シェルコードのインジェクション、ファイルの読み書きが可能でした。
LeetAgentは少なくとも2022年以降、ロシアおよびベラルーシの組織を標的とした攻撃で使用されており、場合によっては、イタリアの企業Memento Labs(旧Hacking Team、またはHackingTeam)が開発した、より高度なスパイウェアファミリーを展開するためにも利用されていました。
Hacking Teamは2003年に設立され、世界中の政府に人気だったRemote Control Systems(RCS)スパイウェアで最もよく知られています。2015年の内部データの流出後、Hacking Teamは2019年にInTheCyber Groupに買収され、Memento Labsに改名されました。
Mementoの新しい監視ツール「Dante」は、かつてDa Vinciとも呼ばれたRCSと多くの類似点があり、検知や解析の回避に重点を置いていることが示されています。
このツールは、ダウンロードされローカルに保存されたモジュールをロードするオーケストレーターに依存しています。オーケストレーター自体も解析回避機能を備え、感染したシステム上でさまざまなチェックを実行します。スパイウェアが指定期間内にC&Cからコマンドを受信しない場合、自身をシステムから削除します。
カスペルスキーによると、Operation ForumTrollの背後にいる脅威アクターはこのキャンペーンではDanteを使用していませんでしたが、同じツールセットを使った他の攻撃ではDanteを使用していました。
「特筆すべきは、この攻撃とDanteが関与した他の攻撃との間に、ファイルシステムパスの類似や同じ永続化メカニズム、フォントファイル内に隠されたデータ、その他の細かな点など、いくつかの小さな類似点が見られたことです。最も重要なのは、エクスプロイト、ローダー、Danteの間で共通するコードが確認できたことです」とカスペルスキーは指摘しています。
翻訳元: https://www.securityweek.com/chrome-zero-day-exploitation-linked-to-hacking-team-spyware/
