Home / ゼロデイ攻撃 / メメントラボのスパイウェア「ダンテ」とフォーラムトロール攻撃の全貌

メメントラボのスパイウェア「ダンテ」とフォーラムトロール攻撃の全貌

2025年10月31日

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

サイバー攻撃「Operation ForumTroll」とスパイウェア「Dante」の全貌

2025年3月、セキュリティ企業Kasperskyは、個別化されたフィッシングリンクを介して感染が広がる新たなスパイウェア攻撃「Operation ForumTroll」を発見しました。この攻撃は、Google ChromeやChromium系ブラウザの高度なゼロデイ脆弱性を悪用し、ロシアの重要機関を標的とした巧妙なスパイ活動です。

主要なポイント

  • 個別化フィッシングリンクによる感染:攻撃者は「Primakov Readings」フォーラムの招待状を装い、短命のリンクをメールで送付。リンクをクリックし悪意あるサイトを訪問するだけで感染が成立します。
  • Google Chromeのゼロデイ脆弱性(CVE-2025-2783)を悪用:Windowsの疑似ハンドル処理の欠陥を突き、Chromeのサンドボックスを回避。これによりマルウェアがブラウザの制限を突破して実行されます。
  • 高度な暗号化と通信技術:ECDH(楕円曲線Diffie-Hellman)でC2サーバーと鍵交換し、AES-GCMでコードを復号。通信はHTTPSで行われ、スパイウェア「LeetAgent」はリートスピーク(英語の文字を数字などに置き換える手法)でコマンドを送受信します。
  • 永続化のためのCOMオブジェクトハイジャック:WindowsのCOM(Component Object Model)技術を悪用し、ユーザーのレジストリを上書きしてマルウェアの常駐を実現しています。
  • 標的と影響範囲:ロシアのメディア、大学、政府機関、金融機関などが主な標的。Google ChromeやChromium系ブラウザ利用者に加え、Firefoxも類似の脆弱性(CVE-2025-2857)で影響を受けています。

技術的な詳細や背景情報

この攻撃は、2022年から存在が確認されているイタリアのMemento Labs(旧Hacking Team)が開発した商用スパイウェア「Dante」と類似したマルウェアを使用しています。攻撃の流れは以下の通りです:

  • フィッシングメールに添付された個別化リンクをクリックすると、ブラウザ上で動作する「バリデータ」スクリプトがWebGPU APIを用いて訪問者の正当性をSHA-256ハッシュ計算で検証。
  • ECDHアルゴリズムでC2サーバーと安全に鍵交換し、AES-GCM暗号化された次段階のコードを復号。
  • Windowsの疑似ハンドル処理の脆弱性(CVE-2025-2783)を利用し、ChromeのIPC(プロセス間通信)ライブラリ「Mojo」や「ipcz」を静的にコンパイルしてサンドボックスを脱出。
  • 感染後はCOMオブジェクトのハイジャックで永続化し、ChaCha20変種で暗号化されたマルウェアローダーがBIOSのUUIDに基づき感染機に固有化。
  • スパイウェア「LeetAgent」はHTTPS経由でC2と通信し、コマンド実行、プロセス起動、ファイル操作、キーロギング、ファイル窃取など多彩な機能を持つ。

影響や重要性

この攻撃は、ロシアの重要な社会インフラや研究機関を狙った国家レベルのスパイ活動と考えられます。特にGoogle ChromeやChromium系ブラウザのサンドボックス回避は、従来の防御策を無効化する高度な手法であり、ブラウザのセキュリティモデルの脆弱性を露呈しました。また、Firefoxでも類似の脆弱性が確認されているため、広範囲のユーザーが影響を受ける可能性があります。

さらに、Windowsの古い最適化手法である疑似ハンドルの利用に起因する脆弱性は他のアプリケーションやWindowsサービスにも存在する可能性があり、今後も同様の攻撃が拡大するリスクがあります。

まとめ

「Operation ForumTroll」は、フィッシングメールから始まる巧妙な攻撃チェーンと、高度なゼロデイ脆弱性を組み合わせた危険なスパイウェアキャンペーンです。ユーザーは以下の対策を徹底することが重要です:

  • Google ChromeおよびFirefoxの最新パッチを速やかに適用する。
  • 不審なメールやリンクをクリックしないよう警戒する。
  • エンドポイントのセキュリティ強化とCOMオブジェクトの監視を行う。
  • マルウェア検知技術の導入と定期的なシステムスキャンを実施する。
  • 重要データの暗号化とアクセス制御を強化する。

今後もブラウザのサンドボックス回避やIPC関連の脆弱性に注意し、最新のセキュリティ情報を常に確認することが求められます。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です