出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/
原題: Mem3nt0 mori – The Hacking Team is back!
カスペルスキーが検出した高度なゼロクリック攻撃「Operation ForumTroll」とスパイウェア「Dante」
2025年3月、セキュリティ企業カスペルスキーは、イタリアのMemento Labs製スパイウェア「Dante」を用いた標的型攻撃キャンペーン「Operation ForumTroll」を発見しました。この攻撃はGoogle ChromeやChromiumベースのブラウザの新たなゼロデイ脆弱性を悪用し、ロシアの重要機関を狙った高度なスパイ活動を行っていました。
主要なポイント
- ゼロクリック感染を引き起こす新たなゼロデイ攻撃の発見
攻撃者はGoogle Chromeのサンドボックスを回避するCVE-2025-2783という新たな脆弱性を利用し、ユーザーが悪意あるリンクをクリックするだけで感染を成立させました。Firefoxにも類似の脆弱性(CVE-2025-2857)が存在し、同様に修正されています。 - 標的はロシアのメディアや政府機関など重要組織
「Operation ForumTroll」と名付けられたこの攻撃は、ロシアのメディア、大学、研究機関、政府機関、金融機関を中心に標的とし、情報窃取を目的としたスパイ活動でした。 - 高度な暗号化とサンドボックス回避技術の利用
攻撃はWebGPU APIを用いた複雑な訪問者検証やECDH鍵交換、AES-GCM暗号化を駆使。Windowsの疑似ハンドルの脆弱性を悪用し、ChromeのIPC通信を介して権限昇格を実現しました。 - 永続化にはCOMハイジャック技術を活用
システムのCOMクラスIDを書き換えて悪意あるDLLを読み込ませる手法で、感染の持続性を確保。マルウェアローダーはChaCha20の変種で暗号化され、感染機のBIOS UUIDにバインドされる高度な仕組みです。 - スパイウェア「LeetAgent」の多彩な機能
コマンド実行、プロセス起動、キーロギング、Office文書やPDFの窃取など、多様なスパイ活動を可能にし、C2サーバーとHTTPS通信で指令を受けています。
技術的な詳細と背景
攻撃は「Primakov Readings」フォーラムの招待を装った個別化されたフィッシングメールから始まります。悪意あるリンク先ではWebGPU APIを用いて訪問者の環境を検証し、ECDH(楕円曲線ディフィー・ヘルマン)鍵交換で安全な通信鍵を生成。AES-GCM暗号化で次段階のペイロードを復号します。
Windowsの疑似ハンドルとは、実際のハンドルではなくシステムが内部的に管理する特殊な識別子のことです。この脆弱性はGetCurrentThread関数の-2という疑似ハンドルを不正に実ハンドルに変換させることで、ChromeのIPC通信に介入し権限昇格を可能にしました。
永続化のためにCOM(Component Object Model)ハイジャックを利用し、特定のCOMクラスIDを上書きして悪意あるDLLを読み込ませることで、システム再起動後もマルウェアが活動を継続します。マルウェアローダーはChaCha20暗号の変種で暗号化されており、感染機のBIOS UUIDに紐づけられるため、他機器への展開を困難にしています。
スパイウェア「LeetAgent」は、コマンドをリートスピーク(英数字の一部を置き換えた暗号化表現)で実装し、C2サーバーとHTTPS通信で指令を受け取ります。主な機能はコマンド実行、プロセス起動、キーロギング、ファイル窃取(特にOffice文書やPDF)など多岐にわたります。
影響と重要性
この攻撃はロシアのメディア、大学、研究機関、政府機関、金融機関を中心に影響を及ぼし、ロシアおよびベラルーシの組織や個人にも波及しています。Google ChromeやChromiumベースのブラウザ利用者は特に注意が必要で、Firefox利用者も類似の脆弱性に影響を受けています。
攻撃者はロシア語に精通しつつも完全なネイティブではない可能性があり、地域特有の言語表現を巧みに使うことで標的の警戒をかいくぐっています。また、この脆弱性はWindowsの古い最適化に起因しており、他のアプリケーションやWindowsサービスにも同様の問題が潜在的に存在する可能性が高い点も懸念されます。
推奨される対策
- Google ChromeおよびFirefoxの最新セキュリティパッチを速やかに適用する。
- 不審なメールや個別化されたリンクのクリックを避ける。
- EDR(Endpoint Detection and Response)やアンチウイルス製品での検知強化と継続的な監視を行う。
- COMハイジャックなど永続化手法に対するシステム監査と防御策を実施する。
- 社内ユーザーに対してフィッシング対策教育を強化し、攻撃のリスクを低減する。
まとめ
「Operation ForumTroll」は、Memento Labs製スパイウェア「Dante」を用いた高度かつ巧妙な標的型攻撃であり、Google ChromeやFirefoxのゼロデイ脆弱性を悪用して感染を成立させています。攻撃はロシアの重要機関を狙い、複雑な暗号化技術やWindowsの脆弱性を巧みに利用した点が特徴です。
今回の発見は、ブラウザのセキュリティ強化だけでなく、システムの永続化手法に対する防御やユーザー教育の重要性を改めて示しています。今後も同種の脆弱性や攻撃手法の発見と対策が求められるため、最新情報の収集と迅速な対応が不可欠です。
