В марте 2025 года специалисты «Лаборатории Касперского» обнаружили масштабную целенаправленную атаку на российские организации, использующую ранее неизвестную уязвимость в браузере Google Chrome. Кампания, получившая название «Форумный тролль», была нацелена на СМИ, университеты, научно-исследовательские институты, государственные и финансовые учреждения. Расследование показало, что за атакой стоит APT-группа ForumTroll, связанная с итальянской компанией Memento Labs - преемницей печально известной Hacking Team.
Описание
Атака начиналась с фишинговых писем, искусно замаскированных под приглашения на научно-экспертный форум «Примаковские чтения». Письма содержали персонализированные ссылки с коротким сроком жизни, что осложняло их обнаружение. Единственное действие, требовавшееся от жертвы - переход по ссылке в браузере на базе Chromium. После этого запускалась сложная цепочка заражения, использующая эксплойт нулевого дня для побега из песочницы Chrome.
Эксперты «Лаборатории Касперского» идентифицировали и проанализировали уязвимость, получившую идентификатор CVE-2025-2783. Она заключалась в логической ошибке обработки псевдодескрипторов Windows в механизме межпроцессного взаимодействия Chrome. Атакующие использовали специально модифицированные версии библиотек Mojo и ipcz для взаимодействия с IPC-брокером браузера. Ключевой особенностью эксплойта была передача псевдодескриптора -2 (представляющего текущий поток) через функцию DuplicateHandle, что позволяло получить дескриптор потока в процессе браузера и выполнить произвольный код с повышенными привилегиями.
После успешного побега из песочницы устанавливался стойкий загрузчик, использующий технику COM hijacking для подмены легитимного COM-объекта twinapi.dll. Загрузчик проверял имя процесса и активировался только в определенных условиях, например, при запуске rdpclip.exe. Основная полезная нагрузка шифровалась модифицированным алгоритмом ChaCha20 и могла привязываться к конкретной машине с использованием BIOS UUID.
Основным шпионским ПО в кампании был LeetAgent, получивший название из-за использования Leet-кодирования команд. Вредоносная программа предоставляла широкий функционал для кибершпионажа: выполнение команд через cmd.exe, управление процессами, чтение и запись файлов, внедрение шеллкода, кейлоггинг и кража документов. Конфигурация агента использовала схему TLV и шифровалась простым XOR-шифром.
В ходе дальнейшего расследования исследователи обнаружили связь между операцией «Форумный тролль» и ранее неизвестным коммерческим шпионским ПО Dante, разработанным Memento Labs. Анализ показал совпадения в коде эксплойта, загрузчика и Dante, а также одинаковые техники persistence и пути к файлам. Это позволяет предположить, что атака проводилась с использованием инструментария, поставляемого вместе с Dante.
Шпионское ПО Dante демонстрирует высокий уровень технической сложности, характерный для коммерческих продуктов. Оно защищено обфускатором VMProtect, использует техники против отладки и обнаружения виртуальных сред, включая проверку логов событий Windows на предмет следов анализа. Оркестратор Dante управляет модулями, связывается с C2 по HTTPS и обеспечивает самозащиту. Модули шифруются с использованием AES-256-CBC с ключом, привязанным к идентификатору CPU и Windows Product ID.
Обнаружение Dante знаменует возвращение на сцену одного из старейших поставщиков шпионского ПО. После взлома в 2015 году и последующей продажи компании InTheCyber Group в 2019 году, Hacking Team была переименована в Memento Labs и заявила о намерении начать все с чистого листа. Однако, как показало исследование, компания продолжает разрабатывать и распространять сложное шпионское ПО.
Этот случай подчеркивает несколько важных аспектов современной кибербезопасности. Во-первых, даже такие зрелые продукты как Google Chrome остаются уязвимыми для сложных атак, использующих неочевидные особенности операционных систем. Во-вторых, рынок коммерческого шпионского ПО продолжает развиваться, а продукты становятся все более изощренными в плане защиты от обнаружения и анализа. Наконец, важность своевременного обновления программного обеспечения и применения многоуровневой защиты невозможно переоценить.
Компания Google оперативно отреагировала на сообщение об уязвимости и выпустила патч в версии Chrome 134.0.6998.177/.178. Разработчики Firefox также обнаружили аналогичную проблему в своем коде и исправили ее как CVE-2025-2857.
Индикаторы компрометации
MD5
- 33bb0678af6011481845d7ce9643cedc
- 35869e8760928407d2789c7f115b7f83
- 7d3a30dbf4fd3edaf4dde35ccb5cf926
SHA1
- 3650c1ac97bd5674e1e3bfa9b26008644edacfed
- 8390e2ebdd0db5d1a950b2c9984a5f429805d48c
- c25275228c6da54cf578fa72c9f49697e5309694
SHA256
- 07d272b607f082305ce7b1987bfa17dc967ab45c8cd89699bcdced34ea94e126
- 2e39800df1cafbebfa22b437744d80f1b38111b471fa3eb42f2214a5ac7e1f13
- 388a8af43039f5f16a0673a6e342fa6ae2402e63ba7569d20d9ba4894dc0ba59
