出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/
原題: Mem3nt0 mori – The Hacking Team is back!
メメントラボのスパイウェア「ダンテ」と新たなゼロデイ脆弱性によるロシア組織への攻撃
2025年3月、セキュリティ企業KasperskyはGoogle ChromeやChromiumベースのブラウザを標的にした新たなゼロデイ攻撃を発見しました。この攻撃は、イタリアのメメントラボ(旧Hacking Team)が開発した商用スパイウェア「Dante(ダンテ)」と関連しており、主にロシアのメディアや政府機関などが標的となっています。
主要なポイント
- ゼロデイ脆弱性の発見と攻撃手法:攻撃は個別化されたフィッシングメールのリンクをクリックし、悪意あるサイトにアクセスするだけで感染が成立します。脆弱性(CVE-2025-2783)はChromeのIPC通信に存在し、sandboxの脱出を可能にしました。
- 標的と攻撃キャンペーン:「Operation ForumTroll」と名付けられたこの攻撃は、ロシアのメディア、大学、政府機関、金融機関などを狙い、過去にはベラルーシの個人・組織も標的となっています。
- マルウェア「Dante」とその機能:2022年から活動するこのスパイウェアは、ChaCha20改変アルゴリズムによる暗号化やCOMオブジェクトのハイジャックを利用し、キーロギングやファイル窃盗などのスパイ活動を行います。
- 脆弱性の修正と影響範囲:GoogleはCVE-2025-2783を修正し、Firefoxも類似の脆弱性(CVE-2025-2857)を修正しましたが、両ブラウザの利用者はアップデートが必須です。
- 攻撃者の特徴と目的:攻撃者はロシア語に精通しているものの完全なネイティブではなく、主目的は情報収集を目的としたスパイ活動と推定されています。
技術的な詳細と背景情報
攻撃は「Primakov Readings」フォーラムの招待を装ったフィッシングメールから始まります。リンク先の悪意あるサイトはWebGPU APIを用いて訪問者が実際のユーザーかを判別し、ECDH(楕円曲線Diffie-Hellman)アルゴリズムで暗号鍵を交換、AES-GCMで次段階のコードを復号します。
ゼロデイ脆弱性はChromeのIPC(プロセス間通信)にあるMojoとipczライブラリのロジックバグに起因し、Windowsの疑似ハンドル(特に-2のスレッド疑似ハンドル)を実際のハンドルに誤変換する点を突いています。これによりsandboxを脱出し、ブラウザプロセス内で任意のシェルコードを実行可能にしました。
永続化にはCOMオブジェクトのハイジャック(COM hijacking)が使われ、特定のDLLを悪用してマルウェアをロードします。マルウェアローダーはChaCha20の改変版でペイロードを復号し、感染機のBIOS UUIDにバインドすることで感染の特定を行います。スパイウェア「LeetAgent」はリートスピーク(英数字を用いた暗号化的表記)でコマンドを記述し、HTTPS経由でC2(コマンド&コントロール)サーバーと通信し、キーロギングやファイル窃盗を行います。
影響と重要性
この攻撃はロシアの重要な組織を中心に広範囲に影響を及ぼし、国家レベルのスパイ活動の一環とみられています。また、Windowsの古い設計に起因する疑似ハンドルの仕様上の問題は他のアプリケーションやWindowsサービスにも影響を及ぼす可能性があり、今後も類似の脆弱性が発見されるリスクがあります。
さらに、攻撃チェーンの多くはKasperskyによって検知・解析されましたが、感染初期のコードは短期間で消去されており完全な解析は困難でした。これにより、今後もサンドボックス脱出やIPC関連の脆弱性に対する警戒が必要です。
まとめ
メメントラボのスパイウェア「ダンテ」と新たなゼロデイ脆弱性を利用した攻撃は、高度な技術と巧妙な手口でロシアの重要組織を標的としています。ユーザーはGoogle ChromeやFirefoxを最新バージョンに更新し、フィッシングメールのリンクを不用意にクリックしないことが重要です。また、組織内ではCOMオブジェクトのハイジャック対策や不審な通信の監視を強化し、WebGPU APIを利用した不審なブラウザ動作にも注意を払う必要があります。
このような高度な攻撃に対抗するためには、最新のセキュリティ情報を常に把握し、迅速な対応を行うことが求められます。
