メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

新たな標的型攻撃キャンペーン「Forum Troll」とMemento Labsのスパイウェア「Dante」について

2025年3月、セキュリティ企業Kasperskyは、Google ChromeやChromiumベースのブラウザを標的にした高度なゼロデイ攻撃キャンペーン「Operation ForumTroll」を検出しました。この攻撃はイタリアのMemento Labs（旧Hacking Team）が開発した商用スパイウェア「Dante」を用いており、ロシアの重要機関を中心に広範囲なスパイ活動が行われています。

主要なポイント

• ゼロデイ脆弱性を悪用した感染経路：攻撃は個別にパーソナライズされたフィッシングメールのリンクをクリックするだけで、Google ChromeやChromiumベースのブラウザが感染する仕組みです。特にCVE-2025-2783という高度なサンドボックス回避脆弱性を利用しています。
• 攻撃対象と目的：ロシアのメディア、大学、研究機関、政府機関、金融機関などが標的となっており、情報窃取を目的としたスパイ活動が中心です。過去にはロシアとベラルーシの組織や個人も攻撃を受けています。
• 高度な技術的手法：WebGPU APIを用いたユーザー検証、ECDHによる安全な鍵交換、Windowsの擬似ハンドルを悪用したサンドボックス脱出、COMオブジェクトのハイジャックによる永続化など、多層的かつ巧妙な攻撃チェーンが特徴です。
• マルウェアの特徴：メインマルウェア「LeetAgent」はリートスピーク（英数字を文字の代わりに使う暗号化的表現）でコマンドを記述し、HTTPS経由でC2サーバーと通信。キーロギングやファイル窃取など多彩な機能を持っています。
• 対策の重要性：最新のブラウザアップデート適用、不審メールの警戒、エンドポイント保護の強化、COMハイジャック対策、セキュリティ教育の推進が推奨されています。

技術的な詳細や背景情報

この攻撃キャンペーンは、フィッシングメールで「Primakov Readings」フォーラムの招待状を装い、個別の追跡用リンクを送付します。リンク先の悪意あるサイトはWebGPU APIを使い、SHA-256ハッシュでユーザーのブラウザ環境を検証する「バリデータ」スクリプトを実行し、実際のユーザーかどうかを判別します。

感染後は、ECDH（楕円曲線ディフィー・ヘルマン）アルゴリズムで安全に鍵交換し、AES-GCM暗号化された次段階のコードをダウンロードします。Windowsの擬似ハンドル機能の欠陥を突いてChromeのサンドボックスを回避し、v8_inspector::V8Console::Debug関数をフックしてconsole.debug()呼び出しでシェルコードを実行する高度な手法が用いられています。

永続化はCOMオブジェクトのハイジャック技術で行われ、HKCUレジストリに悪意あるDLLを登録し、ChaCha20暗号で保護されたマルウェアを特定プロセス（例：rdpclip.exe）でのみ復号・実行します。メインマルウェア「LeetAgent」はHTTPSを介してコマンド＆コントロール（C2）サーバーと通信し、多様なスパイ活動を実行します。

影響や重要性

この攻撃は、特にロシアのメディアや政府機関、金融機関などの重要組織に対する情報窃取を目的としており、国家レベルのスパイ活動の一環と考えられます。ゼロデイ脆弱性を悪用しているため、一般のセキュリティ対策では検知が難しく、被害が拡大するリスクがあります。

また、Windowsの古い設計に起因する擬似ハンドルの脆弱性は他のアプリケーションにも存在する可能性があり、同様の攻撃手法が今後も発見される恐れがあります。Firefoxにも類似の脆弱性が存在し、広範囲なブラウザ利用者が影響を受ける可能性があるため、迅速な対応が求められます。

まとめ

「Operation ForumTroll」は、Memento Labsの商用スパイウェア「Dante」を用いた高度かつ巧妙な標的型攻撃キャンペーンです。ゼロデイ脆弱性を悪用し、ロシアの重要機関を中心に広範囲なスパイ活動を展開しています。ユーザーはブラウザの最新アップデートを適用し、不審なメールリンクをクリックしないことが重要です。また、企業はエンドポイント保護やCOMハイジャック対策を強化し、標的型フィッシングへの警戒を高める必要があります。

Kasperskyは今後もこの種の攻撃手法や脆弱性の調査を継続し、情報共有を進める予定です。最新のセキュリティ情報に注意を払い、適切な対策を講じることが求められます。