Chromeゼロデイ攻撃に関連するMementoスパイウェア

出典：Pictorial Press Ltd（Alamy Stock Photo経由）

GoogleのChromeウェブブラウザにおけるゼロデイ脆弱性が、今年初めにHacking Teamの後継企業であるMemento Labsの商用スパイウェアツールを通じて悪用されました。

CVE-2025-2783として追跡されているこの脆弱性は、今年初めにカスペルスキー研究所の研究者によって発見・報告されました。Googleは迅速にこの欠陥を修正し、この脆弱性は「Operation ForumTroll」と呼ばれるキャンペーンで国家支援型の脅威グループによって利用されていました。

研究者たちは、このキャンペーンで使用されたマルウェアが、ロシアとベラルーシの政府および民間部門の組織を標的としており、2022年までさかのぼる他の攻撃にも関連していることを突き止めました。カスペルスキーが月曜日に発表したレポートによると、これらの攻撃をさらに分析した結果、イタリアのベンダーMemento Labsによる「Dante」と呼ばれるスパイウェアプログラムが発見されました。

この活動は、商用スパイウェア業界がGoogleやAppleなどの企業に対するゼロデイ攻撃の多くを牽引している最新の例です。また、これらの企業がいかに粘り強いかも示しています。2015年、Hacking Teamは正体不明の攻撃者によって侵害され、スパイウェアツールのソースコードを含む機密データが流出し、危機に陥ったように見えました。

Hacking Teamは2019年にIntheCyber Groupに買収され、両社はMemento Labsとして再出発しました。2023年、Memento Labsは「Dante」と呼ばれる新しいスパイウェア製品を発表しましたが、カスペルスキーによれば、今年まで実際に発見されたことはありませんでした。

Chromeサンドボックス回避に使われたMementoのエクスプロイト

カスペルスキーの研究者は、2025年初頭に、パーソナライズされたフィッシングメールと短命な悪意あるリンクを使って、Google Chromeや他のChromium系ウェブブラウザの利用者を標的にした強力なエクスプロイトを配信する一連の攻撃を最初に発見しました。

研究者たちは、この高度なエクスプロイトがChromeのサンドボックス保護を、明らかに悪意のある、あるいは制限された動作を使うことなく回避できることを発見しました。この問題の根本は、カスペルスキーの主任セキュリティ研究者ボリス・ラリンによれば、「Windows OSのあいまいな癖」に起因するChromeの論理的な脆弱性でした。

「これまでに、私たちは攻撃で実際に使われている数十件のゼロデイエクスプロイトを発見し、報告してきました」とラリンはレポートに記しています。「しかし、CVE-2025-2783は、私たちが遭遇した中で最も興味深いサンドボックス回避エクスプロイトの一つです。」

簡単に言えば、ラリンはMementoが「疑似ハンドル」と呼ばれる特別な定数値を利用してサンドボックス機能を無効化する方法を見つけたと説明しています。Windowsの一部API呼び出しでは、実際のハンドルの代わりに疑似ハンドルが返されるため、権限のないユーザーが特権プロセスへの呼び出しに疑似ハンドルを提供できてしまいます。

「疑似ハンドルが最初に導入されたとき、開発を簡素化し、パフォーマンスを向上させるのに役立ちました。これは、古いPCでは非常に重要なことでした」と彼は書いています。「しかし、数十年経った今、その時代遅れの最適化が私たちに災いをもたらしています。」

ラリンは、KasperskyのSecurity Analyst Summit 2025でこのエクスプロイトとMementoのスパイウェアに関する調査結果を発表し、CVE-2025-2783は新たな種類の脆弱性を示しており、他のアプリケーションやWindowsサービスにも同様の欠陥が存在する可能性があると警告しました。また、WindowsのDuplicate Handle API関数は「危険」であり、すべての特権プロセスは疑似ハンドルが提供された場合にエラーを返すべきだと述べています。

CVE-2025-2783 Exploitation to Dante">CVE-2025-2783の悪用からDanteへの追跡

ラリンによれば、カスペルスキーはOperation ForumTrollキャンペーンで国家支援型脅威グループがDanteを使用しているのを確認しませんでしたが、研究者たちは同じグループに関連する他の攻撃でこのスパイウェアを突き止めました。また、マルウェアコードの類似性から、Operation ForumTrollキャンペーンもMementoのツールを使って実行されたとカスペルスキーは結論付けました。

多くのスパイウェアプログラムと同様に、研究者たちはDanteが高度に難読化されていることを発見しました—この場合、リバースエンジニアリングを妨げるVMprotectというソフトウェアツールによって—さらに、ほぼすべての文字列が暗号化されていました。しかしラリンは、そのような対策でもプロのマルウェアアナリストを止めることはできないと述べています。

「商用スパイウェアの検出と帰属の問題は、ベンダーが通常、エクスプロイトやマルウェアに著作権情報や製品名を含めないことにあります」とラリンは書いています。「しかし、Danteスパイウェアの場合、VMProtectの難読化を取り除き、コード内でマルウェア名を発見したことで、帰属は簡単でした。」

Memento Labsは当初、2019年に「ゼロからのスタート」と述べていましたが、Hacking Teamのデータ流出が理由でした。しかしラリンは、カスペルスキーがDanteと元々の主力スパイウェア製品であるRemote Control Systems（RCS）との間に「かなり多くの類似点」を発見したと述べています。

Dark Readingはカスペルスキーのレポートについてコメントを求めてMementoに連絡しましたが、記事執筆時点では同社からの回答はありませんでした。