出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/
原題: Mem3nt0 mori – The Hacking Team is back!
イタリア製スパイウェア「Dante」を用いた再浮上したMementoチームの標的型攻撃解析
2025年3月、セキュリティ企業Kasperskyは、Google ChromeやChromiumベースのブラウザを利用するだけで感染する高度なゼロデイ攻撃を検出しました。本記事では、この攻撃キャンペーン「Operation ForumTroll」の概要と技術的詳細、影響、そして対策について解説します。
主要なポイント
- ゼロデイ脆弱性を悪用した感染経路:攻撃は、メールで送られる個別カスタマイズされた短命のフィッシングリンクを介し、被害者が悪意あるサイトを訪問するだけで感染が成立します。
- 標的と目的:ロシアのメディア、大学、研究機関、政府機関、金融機関などが主な標的で、スパイ活動を目的としています。
- 使用マルウェア「Dante」の起源:2022年まで遡るイタリアのMemento Labs(旧Hacking Team)製の商用スパイウェア「Dante」と関連が確認されました。
- 高度なサンドボックス回避技術:Windowsの疑似ハンドルを悪用し、Chromeのマルチプロセス構造とIPC通信を突破してブラウザ内でシェルコードを実行します。
- 迅速な脆弱性対応:Google Chrome(CVE-2025-2783)およびFirefox(CVE-2025-2857)の脆弱性は報告され、修正が行われています。
技術的な詳細と背景情報
攻撃者は「Primakov Readings」フォーラムの招待状を装ったロシア語の自然な文体のフィッシングメールを送信。悪意あるサイトは最新のWebGPU APIを用いて訪問者が実際のユーザーかを判定し、ECDH(楕円曲線Diffie-Hellman)アルゴリズムで安全な鍵交換を行い、AES-GCM暗号で次段階のコードを復号します。
サンドボックス回避は、Windowsの疑似ハンドル(特にGetCurrentThread関数が返す-2)を悪用。ChromeのIPC(プロセス間通信)で実際のスレッドハンドルに変換される脆弱性を利用し、マルチプロセス構造とMojo/ipczライブラリの通信を突破してブラウザプロセス内でシェルコードを実行します。
永続化はCOM(Component Object Model)オブジェクトのハイジャック技術を使い、特定のDLL(twinapi.dllのCLSID)を悪意あるDLLに置き換える手法が用いられています。ローダーはMetasploit風のバイナリエンコーダとOLLVMによる難読化を施し、ChaCha20の変種暗号でマルウェア本体を復号。マルウェア本体はDonutツールで生成されたシェルコードを含みます。
影響と重要性
- ロシアの主要メディア、学術機関、政府、金融機関が標的となり、情報漏洩や機密情報の窃取リスクが高まっています。
- ベラルーシの組織や個人も過去に攻撃対象となっており、地域的な影響範囲は広範です。
- Google ChromeやChromiumベースのブラウザ利用者は感染リスクがあり、Firefoxユーザーも類似脆弱性の影響を受ける可能性があります。
- Windowsの古い最適化技術(疑似ハンドルの利用)が現代のセキュリティに穴を生じさせた事例であり、同様の脆弱性が他にも存在する恐れがあります。
まとめと推奨対策
今回の「Operation ForumTroll」は、イタリア製スパイウェア「Dante」を用いた高度で巧妙な標的型攻撃です。ゼロデイ脆弱性を悪用し、サンドボックス回避や永続化技術も高度であるため、被害拡大の防止には迅速な対応が不可欠です。
- Google ChromeおよびFirefoxの最新セキュリティアップデートを速やかに適用してください。
- フィッシングメールのリンクは不用意にクリックせず、送信元やリンク先の正当性を慎重に確認しましょう。
- エンドポイントセキュリティ製品を導入し、常に最新の状態を維持することが重要です。
- COMオブジェクトのハイジャックなど高度な永続化手法に対する監視・検知体制を強化してください。
Kasperskyは攻撃チェーンの詳細解析を公開し、今後の対策や研究に役立てる意向です。ユーザーおよび組織は最新情報を注視し、適切なセキュリティ対策を講じることが求められます。
