概要:Chromeゼロデイ脆弱性を悪用した攻撃
今年初めに「Operation ForumTroll」で悪用されたGoogle Chromeのゼロデイ脆弱性が、イタリアのサイバースパイウェアベンダーであるMemento Labsに関連するマルウェアを配信していたことが判明しました。Memento Labsは、悪名高いHacking Teamを買収したIntheCyber Groupから誕生した企業です。
このキャンペーンはKasperskyによって3月に発見され、ロシアの組織(メディア、大学、研究センター、政府機関、金融機関)を標的としていました。攻撃は、悪意のあるリンクを含む「プリマコフ・リーディングス」フォーラムへの巧妙な招待状を通じて行われました。Chromiumベースのウェブブラウザでこのリンクを読み込むだけで、コンピュータシステムが感染する仕組みでした。Kasperskyの研究者によると、マルウェアの配信にはChromeブラウザのサンドボックスエスケープゼロデイ脆弱性「CVE-2025-2783」が悪用されたとのことです。
Memento LabsとDanteスパイウェアの関連性
Kasperskyは本日、Operation ForumTrollで使用された攻撃チェーンに関する詳細を公開しました。このキャンペーンで使用されたマルウェアは少なくとも2022年まで遡ることができ、ロシアとベラルーシの組織に対する他の攻撃の発見につながりました。過去の攻撃を分析した結果、研究者たちは「Dante」と呼ばれる商用スパイウェアを発見し、これをイタリア企業Memento Labsが開発したと特定しました。
Memento Labsは、かつて「Hacking Team」として知られたミラノを拠点とするスパイウェアベンダーの研究と専門知識に基づいて設立された新会社です。Hacking Teamは2015年に情報漏洩事件を起こし、権威主義的な政権への販売、ゼロデイエクスプロイトへのアクセス、政府情報機関とのやり取りが明らかになり、その運命を決定づけました。2019年にはInTheCyber Groupに買収され、Hacking Teamの資産を活用してMemento Labsが設立されました。その4年後、ISS World Middle East and AfricaカンファレンスでMemento Labsは新しいDanteスパイウェアを発表しましたが、その詳細は非公開のままでした。
LeetAgentとDanteの運用詳細
Operation ForumTrollの攻撃は、パーソナライズされた短命の悪意のあるサイトへのリンクを含むフィッシングメールから始まります。このサイトでは、バリデーター(検証)スクリプトが訪問者をフィルタリングし、標的となる対象者のみが侵害されるようにします。次の段階では、攻撃者はCVE-2025-2783を悪用して被害者のブラウザプロセスでシェルコードを実行し、悪意のあるDLLを注入するための永続的なローダーをインストールします。このDLLは、主要なペイロードである「LeetAgent」を復号化します。LeetAgentは、コマンド実行、ファイル操作、キーロギング、データ窃盗をサポートするモジュラースパイウェアです。
Kasperskyの研究者は、LeetAgentがコマンド実装にリーツピーク(leetspeak)を使用している点でユニークであり、これも商用スパイウェアである可能性があると考えています。LeetAgentの使用は、2022年のロシアとベラルーシの標的への攻撃にまで遡ります。一部のケースでは、LeetAgentがDanteを導入するために使用されていました。DanteのコードがHacking TeamのRCSマルウェアと類似していることから、Kasperskyの研究者はこれらのツールがMemento Labsに帰属すると高い確信を持っています。Danteはモジュラースパイウェアであり、コマンド&コントロール(C2)サーバーからコンポーネントを取得します。指定された日数C2サーバーから通信がない場合、マルウェアは「自身と活動の痕跡をすべて削除」します。研究者たちは分析のためにモジュールを取得できなかったため、Danteスパイウェアの具体的な機能や能力は文書化されていません。
脆弱性の修正と今後の課題
Kasperskyは高度なスパイウェアをMemento Labsに高い確信を持って帰属させていますが、Chromeのサンドボックスエスケープゼロデイの作成者は別のエンティティである可能性があることに注意が必要です。Google Chromeは3月26日にリリースされたバージョン134.0.6998.178でCVE-2025-2783を修正しました。MozillaもFirefoxのバージョン136.0.4で、CVE-2025-2857として追跡されているこの問題を対処しました。
BleepingComputerはKasperskyの調査結果についてMemento Labsにコメントを求めましたが、公開時点までに回答は得られませんでした。