Home / 脆弱性 / カスペルスキー、Mメントラボのスパイウェア「ダンテ」利用の標的型攻撃を検出

カスペルスキー、Mメントラボのスパイウェア「ダンテ」利用の標的型攻撃を検出

2025年10月30日

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

Kasperskyが検出した「Dante」スパイウェアを用いた標的型攻撃「Operation ForumTroll」について

2025年3月、セキュリティ企業Kaspersky(カスペルスキー)は、イタリアのMemento Labs(旧Hacking Team)が開発した商用スパイウェア「Dante(ダンテ)」を利用した高度な標的型攻撃キャンペーン「Operation ForumTroll」を検出しました。本記事では、この攻撃の概要、技術的詳細、影響範囲、そして対策について解説します。

主要なポイント

  • 感染経路と攻撃手法:個別化されたフィッシングメールのリンクを介し、Google ChromeやChromiumベースのブラウザで悪意あるサイトにアクセスするだけで感染が成立。ゼロデイ脆弱性(CVE-2025-2783)を悪用したサンドボックス脱出攻撃が特徴。
  • 攻撃対象:ロシアのメディア、大学、政府機関、金融機関などが標的。過去にはロシアおよびベラルーシの組織や個人も被害を受けている。
  • マルウェアの特徴:「Dante」スパイウェアの派生である「LeetAgent」が使用され、リートスピーク(文字を数字や記号に置き換える手法)でコマンドを記述。キーロギングやファイル窃盗など多彩な遠隔操作機能を持つ。
  • 技術的な脆弱性:WindowsのGetCurrentThread APIの擬似ハンドル誤処理に起因するIPC(プロセス間通信)脆弱性を突き、Chromeのサンドボックスを脱出。Googleに報告され修正済み。
  • 推奨対策:ブラウザの最新アップデート適用、フィッシングメールの警戒、エンドポイントの監視強化、ネットワークトラフィックの異常検知、重要ファイルのバックアップとアクセス制御が重要。

技術的な詳細と背景情報

攻撃は「Primakov Readings」フォーラムの招待を装ったフィッシングメールから始まります。メール内の個別化された短命リンクにより、ユーザーがGoogle ChromeやChromiumベースのブラウザで悪意あるサイトにアクセスすると、ブラウザ上で実行される「バリデータ」スクリプトがWebGPU APIを利用してユーザーの検証を行い、ECDH(楕円曲線Diffie-Hellman)鍵交換でC2(コマンド&コントロール)サーバーと安全に通信します。

攻撃はChromeのIPCメカニズムの脆弱性を突き、Mojoとipczライブラリを悪用してサンドボックスを脱出します。具体的には、WindowsのGetCurrentThread APIが返す「擬似ハンドル(-2)」を誤処理し、実際のスレッドハンドルを不正に取得。これによりスレッドのコンテキストを操作し、シェルコードを実行してマルウェアローダーをインストールします。

持続性確保にはCOMハイジャック技術を用い、特定のCOMオブジェクトのCLSID(クラス識別子)をユーザー権限で上書きし、悪意あるDLLをロード。マルウェアローダーはChaCha20暗号の変種でペイロードを復号し、Donutツールで生成されたシェルコードでメインマルウェア「LeetAgent」を起動します。

「LeetAgent」はコマンドをリートスピークで記述し、HTTPS通信でC2サーバーとやり取り。キーロギングやファイル窃盗機能を備え、特にOffice文書やPDFファイルを狙います。

影響と重要性

この攻撃はロシアのメディア、大学、研究機関、政府組織、金融機関などの重要インフラを標的としており、国家レベルのスパイ活動の一環と見られています。さらに、Google ChromeおよびChromiumベースのブラウザの利用者全般に影響を及ぼす可能性があり、Firefoxでも類似のIPC脆弱性(CVE-2025-2857)が確認されています。

特にWindowsの擬似ハンドル設計に起因する脆弱性は、今回の攻撃以外にも他のアプリケーションやWindowsサービスに潜在的なリスクをもたらす可能性があり、OSやソフトウェアのセキュリティ強化が急務です。

まとめ

「Operation ForumTroll」は、高度にカスタマイズされたスパイウェア「Dante」を用いた巧妙な標的型攻撃であり、ゼロデイ脆弱性を悪用してブラウザのサンドボックスを突破する点が特徴です。攻撃者はロシア語に精通しつつも母語話者ではない可能性があり、個別IDを付与して感染追跡を困難にしています。

ユーザーはGoogle ChromeやFirefoxの最新セキュリティアップデートを適用し、フィッシングメールのリンクを不用意にクリックしないことが重要です。また、企業や組織はエンドポイントの監視強化、ネットワークトラフィックの異常検知、重要ファイルのバックアップとアクセス制御を徹底し、被害の拡大を防ぐ必要があります。

Kasperskyの詳細な解析は、今後の類似攻撃の検出と防御に大きく貢献するでしょう。

タグ付け処理あり:
security-user

Related Posts

オーククリフのカード詐欺団を率いるネイサン・マイケルの犯罪手口
2025年11月5日
オーククリフを拠点とした大規模カード詐欺組織の実態
2025年11月3日
OMGケーブル開発者MGが語る高度なハードウェアハッキング技術
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です