TokyoBlackHatNews

bleepingcomputer.com 4分で読了

イタリアのスパイウェアベンダーがChromeゼロデイ攻撃に関与

イタリアのスパイウェアベンダーがChromeゼロデイ攻撃に関与

Italian spyware vendor linked to Chrome zero-day attacks

今年初めに実行されたOperation ForumTrollで悪用されたGoogle Chromeのゼロデイ脆弱性は、悪名高いHacking TeamをIntheCyber ​​Groupが買収した後に誕生したイタリアのスパイウェアベンダー、Memento Labsに関連するマルウェアを配信しました。

Operation ForumTrollは、カスペルスキーによって3月に発見されました。このキャンペーンはロシアの組織、メディア、大学、研究機関、政府機関、金融機関を標的とし、巧妙に作られたPrimakov Readingsフォーラムへの招待状に悪意のあるリンクが含まれていました。

このリンクをChromiumベースのウェブブラウザで開くだけで、コンピュータシステムが感染しました。カスペルスキーの研究者によると、マルウェアの配信はChromeブラウザのサンドボックスエスケープゼロデイであるCVE-2025-2783を悪用して行われました。

Sample email from the ForumTroll attacks
ForumTroll攻撃のサンプルメール
出典: カスペルスキー

本日発表されたレポートで、カスペルスキーはOperation ForumTrollで使われた攻撃チェーンの詳細を公開し、キャンペーンで使用されたマルウェアは少なくとも2022年に遡るものであり、ロシアやベラルーシの他の組織への攻撃の発見にもつながったと述べています。

過去の攻撃を分析した結果、研究者たちは「Dante」と呼ばれる商用スパイウェアで、イタリアの企業Memento Labsによって開発された未知のマルウェアを特定しました。

Memento Labsは、かつてミラノを拠点とし、監視ツールとして当局に販売されていたRemote Control System(RCS)で知られていたスパイウェアベンダー「Hacking Team」の研究と専門知識を基に設立された新しい企業です。

Hacking Teamは2015年に侵害され、この事件によって権威主義体制への販売、ゼロデイエクスプロイトへのアクセス、政府情報機関とのやり取りが明らかになり、会社の運命が決定づけられました。

2019年、同社はInTheCyber Groupに買収され、Hacking Teamの資産を活用してMemento Labsが設立されました。

4年後、ISS World Middle East and Africa会議でMemento Labsは新しいDanteスパイウェアを発表しましたが、詳細は非公開のままでした。

LeetAgentとDante

Operation ForumTrollの攻撃は、標的ごとにパーソナライズされた短命のリンク付きフィッシングメールから始まります。リンク先の悪意あるサイトでは、バリデータスクリプトが訪問者をフィルタリングし、関心のある標的だけが侵害されるようにします。

次の段階で、攻撃者はCVE-2025-2783を悪用して被害者のブラウザプロセスでシェルコードを実行し、悪意のあるDLLを注入するための永続的なローダーをインストールしました。

このDLLは、LeetAgentと呼ばれるメインペイロードを復号化します。LeetAgentは、コマンド実行、ファイル操作、キーロギング、データ窃取をサポートするモジュラー型スパイウェアです。

カスペルスキーの研究者は、LeetAgentがコマンド実装にリートスピークを使用している点で独特であり、これも商用スパイウェアツールである可能性があると指摘しています。

Operation ForumTroll attack chain
Operation ForumTroll攻撃チェーン
出典: カスペルスキー

研究者たちは、LeetAgentの使用が2022年のロシアとベラルーシの標的への攻撃にまで遡ることを突き止めました。一部のケースでは、LeetAgentがDanteの導入に使われていました。

DanteのコードがHacking TeamのRCSマルウェアと類似していることから、カスペルスキーの研究者はこれらのツールがMemento Labsによるものであると高い確信を持っています。

Danteは、コマンド&コントロール(C2)サーバーからコンポーネントを取得するモジュラー型スパイウェアです。攻撃者のサーバーから一定日数通信がない場合、マルウェアは「自らとその活動の痕跡をすべて削除します」。

研究者たちは解析用のモジュールを取得できなかったため、Danteスパイウェアの具体的な機能や能力は未だ文書化されていません。

カスペルスキーは高度なスパイウェアをMemento Labsに高い確信を持って帰属させていますが、Chromeのサンドボックスエスケープゼロデイの作者は別の存在である可能性があることに注意が必要です。

ChromeはCVE-2025-2783バージョン134.0.6998.178(3月26日リリース)で修正しました。Mozillaも同様の問題(CVE-2025-2857)をFirefoxのバージョン136.0.4で対処しています。

BleepingComputerはカスペルスキーの調査結果についてコメントを求めてMemento Labsに連絡しましたが、記事公開時点で回答は得られていません。

翻訳元: https://www.bleepingcomputer.com/news/security/italian-spyware-vendor-linked-to-chrome-zero-day-attacks/

ソース: bleepingcomputer.com
#2025年サイバー攻撃 #Chromeゼロデイ #CVE-2025-2783 #Danteスパイウェア #ForumTroll作戦 #Kaspersky impersonation #LeetAgent Spyware #MementoLabs #イタリアスパイウェア #ハッキングチーム

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用