Home / APT攻撃 / メメントラボのスパイウェア「ダンテ」、新たな標的型フィッシング攻撃で露出

メメントラボのスパイウェア「ダンテ」、新たな標的型フィッシング攻撃で露出

2025年11月1日

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

Memento Labsのスパイウェア「Dante」、新たな標的型フィッシング攻撃で露呈

2025年3月、セキュリティ企業KasperskyはGoogle ChromeやChromiumベースのブラウザを狙った高度なゼロデイエクスプロイトを用いた攻撃キャンペーン「Operation ForumTroll」を発見しました。この攻撃は、イタリアのMemento Labs(旧Hacking Team)が開発した商用スパイウェア「Dante」と類似したマルウェアを使用し、ロシアやベラルーシの重要機関を標的としています。

主要なポイント

  • ゼロデイエクスプロイトによる感染拡大
    フィッシングメールに記載された個別カスタマイズされたリンクをクリックするだけで、Google Chromeのサンドボックスを回避する脆弱性を悪用し感染が成立。
  • 標的はロシアの重要機関
    ロシアのメディア、大学、研究機関、政府機関、金融機関などが攻撃対象となり、過去にはロシアとベラルーシの組織や個人も被害を受けている。
  • 高度な技術的手法の使用
    WebGPU APIを用いたユーザー検証、ECDH鍵交換による暗号化キーの取得、ChromeのIPC通信機構Mojoとipczの悪用、COMオブジェクトのハイジャックなど多層的な攻撃技術が確認された。
  • スパイウェア「LeetAgent」の多機能性
    コマンドはリートスピーク(英数字を置き換えた表記)で記述され、HTTPS通信でC2サーバーと連携。キーロギングやファイル窃盗など幅広いスパイ活動を実行。
  • 対策の重要性
    GoogleとFirefoxは既に脆弱性を修正済みであり、ユーザーは速やかなブラウザアップデートとフィッシングメールへの警戒が必須。

技術的な詳細や背景情報

攻撃は「Primakov Readings」というフォーラムへの招待を装ったフィッシングメールから始まります。メール内の個別リンクは感染者を追跡可能で、リンク先の悪意あるサイトではブラウザ上で動作する「バリデータ」スクリプトがWebGPU APIを利用し、ユーザーの正当性を検証します。さらにECDH(楕円曲線Diffie-Hellman)鍵交換により暗号化キーを取得し、通信の秘匿性を確保。

ゼロデイエクスプロイトは、Windows OSの疑似ハンドル管理に関する論理的脆弱性(特にGetCurrentThreadの-2ハンドル)を悪用し、Chromeのサンドボックスを突破。ChromeのIPC(プロセス間通信)機構であるMojoとipczライブラリを操作し、プロセス間のハンドルを不正に取得・操作します。

持続性はCOMオブジェクトのハイジャック(COM hijacking)で実現され、特定のDLLをユーザーのレジストリに登録して悪意あるコードを常駐させます。マルウェアローダーはChaCha20暗号の変種で暗号化されており、感染機器のBIOS UUIDにバインドされるため、感染の追跡や除去が困難です。

スパイウェア「LeetAgent」はコマンドをリートスピークで記述し、HTTPS経由でC2(コマンド&コントロール)サーバーと通信。キーロギング、ファイル窃盗、コマンド実行など多彩な機能を備えています。

影響や重要性

この攻撃はロシアのメディア、大学、研究センター、政府機関、金融機関などの重要組織を標的としており、国家レベルのスパイ活動の一環と考えられます。また、Google ChromeやChromiumベースのブラウザ利用者全般にも潜在的なリスクが存在します。さらに、Firefoxも類似の脆弱性(CVE-2025-2857)に影響を受けているため、広範囲にわたるブラウザユーザーが注意を要します。

攻撃者はロシア語に精通し、現地文化に合わせた巧妙なメール文面を作成している一方で、一部に非ネイティブの痕跡も見られ、複数の攻撃者が関与している可能性も示唆されています。脆弱性はWindowsの古い最適化に起因しており、今後も同様の脆弱性が他のアプリケーションやシステムサービスに潜む可能性があるため、継続的な監視と対策が必要です。

まとめ

「Operation ForumTroll」は高度なゼロデイエクスプロイトと多層的な攻撃技術を駆使し、Memento Labsの商用スパイウェア「Dante」に類似したマルウェアを用いてロシアの重要機関を標的とした大規模なサイバー攻撃です。ユーザーはブラウザの最新アップデート適用とフィッシングメールへの警戒を徹底し、エンドポイントセキュリティの強化と侵害検知体制の整備が急務となっています。

今後、セキュリティコミュニティはAlex Gough氏の講演「Responding to an ITW Chrome Sandbox Escape (Twice!)」などで詳細な技術解説を提供予定であり、最新情報の収集と対応が重要です。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です