Home / セキュリティ / カスペルスキー、メメントラボのスパイウェア「ダンテ」を用いた標的型攻撃を検出

カスペルスキー、メメントラボのスパイウェア「ダンテ」を用いた標的型攻撃を検出

2025年10月30日

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

カスペルスキーが発見した高度な標的型攻撃「Operation ForumTroll」とスパイウェア「Dante」

2025年3月、セキュリティ企業カスペルスキーは、Memento Labsが開発したスパイウェア「Dante」を用いた高度な標的型攻撃「Operation ForumTroll」を検出しました。この攻撃はGoogle ChromeやChromiumベースのブラウザのゼロデイ脆弱性を悪用し、ロシアの重要機関を狙った巧妙なスパイ活動です。

主要なポイント

  • ゼロデイ攻撃の検出:Google Chromeのサンドボックスを回避する新たなゼロデイ脆弱性(CVE-2025-2783)を利用し、悪意あるウェブサイトへのアクセスだけで感染が成立。
  • 標的とされた組織:ロシアのメディア、大学、政府機関、金融機関などが主な標的で、過去にはベラルーシの組織や個人も攻撃対象となっていた。
  • 高度な技術的手法:フィッシングメールによる個別化リンク、WebGPU APIを用いたユーザー検証、IPC通信の脆弱性を突くサンドボックス回避、COMハイジャックによる永続化など多層的な攻撃手法を駆使。
  • スパイウェア「Dante」の正体:2022年に遡るイタリアのMemento Labs(旧Hacking Team)製の商用スパイウェアで、難読化や暗号化技術を用いて検出を回避。
  • Firefoxの脆弱性も存在:類似のゼロデイ脆弱性(CVE-2025-2857)がFirefoxにも存在し、迅速に修正が行われた。

技術的な詳細と背景情報

攻撃は「Primakov Readings」フォーラムの招待状を装ったフィッシングメールから始まります。メール内の個別化された短命リンクをクリックすると、悪意あるサイトの「バリデータ」スクリプトがWebGPU APIを使いユーザーの正当性を判定。ECDH(楕円曲線Diffie-Hellman)鍵交換で安全にペイロードをAES-GCM暗号で復号し、次の攻撃段階へ進みます。

サンドボックス回避は、ChromeのIPC(プロセス間通信)に使われるMojoとipczライブラリの脆弱性を突き、Windowsの擬似ハンドル(特に-2)を実ハンドルに誤変換させるロジックバグを利用。さらに、v8 JavaScriptエンジンのDebug関数をフックし、console.debug呼び出しを悪用してブラウザのサンドボックスを脱出、ブラウザプロセス内でシェルコードを実行します。

永続化にはCOMハイジャック技術を用い、WindowsのHKCUレジストリ内の特定CLSIDを上書きして悪意あるDLLをロードさせる手法が使われています。マルウェアのローダーはMetasploit風のバイナリエンコーダとOLLVMによる難読化を施し、ChaCha20の変種で本体を復号します。

メインマルウェア「LeetAgent」はコマンドをリートスピーク(英数字の一部を置き換えた暗号化表現)で実装し、HTTPS経由でC2(コマンド&コントロール)サーバーと通信。キーロギングやファイル窃取、コマンド実行など多彩なスパイ活動を行います。

影響と重要性

本攻撃はロシアの重要なメディアや政府機関、金融機関を狙い、国家レベルの情報収集や妨害を目的とした高度なサイバー諜報活動であることが明らかになりました。特にゼロデイ脆弱性を悪用し、ユーザーの操作をほぼ必要としない感染経路は非常に危険です。

また、Windows OSの古い擬似ハンドル設計に起因する脆弱性は他のアプリケーションやシステムサービスにも波及する可能性があり、今後も同様の攻撃が発生するリスクがあります。Firefoxの脆弱性も示すように、多くのブラウザやプラットフォームで同様の問題が潜在していることを示唆しています。

さらに、攻撃者がロシア語に精通し、標的の文化や言語に合わせた巧妙なソーシャルエンジニアリングを行っている点も注目すべきです。こうした高度な手法は検知や防御を一層困難にしています。

まとめ

「Operation ForumTroll」は、Google ChromeやChromiumベースブラウザのゼロデイ脆弱性を悪用し、Memento Labs製のスパイウェア「Dante」を用いた高度な標的型攻撃です。ロシアの重要機関を狙ったこの攻撃は、多層的な技術を駆使し、サンドボックス回避や永続化、難読化を実現しています。

ユーザーや組織は、Google ChromeおよびFirefoxの最新セキュリティアップデートを速やかに適用し、フィッシングメールのリンクを不用意にクリックしないことが重要です。また、COMハイジャックやDLLインジェクションに対する検知・防御策の強化、エンドポイントセキュリティ製品による「LeetAgent」などスパイウェアの検出も推奨されます。

今後もIPC通信やOSのロジックに起因する脆弱性の発見が予想されるため、セキュリティ研究者や組織は継続的な監視と脆弱性評価を怠らないことが求められます。

security-user

Related Posts

Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
2025年11月4日
不正アクセス受け情報漏えいの可能性│株式会社がんばる舎
2025年11月4日
メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です