Home / フィッシング / メメントラボのスパイウェア『ダンテ』、標的型フィッシングで露呈

メメントラボのスパイウェア『ダンテ』、標的型フィッシングで露呈

2025年10月31日

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

メメントラボ製スパイウェア「ダンテ」、標的型フィッシング攻撃で露呈

2025年3月、セキュリティ企業Kasperskyは「Operation ForumTroll」と名付けた標的型フィッシング攻撃を発見しました。この攻撃では、イタリアのMemento Labs(旧Hacking Team)が開発した商用スパイウェア「Dante」が使用され、主にロシア語圏の組織や個人が狙われています。

主要なポイント

  • 標的型フィッシング攻撃の手口:攻撃者は「Primakov Readings」フォーラムへの招待を装い、個別にカスタマイズされた短命のフィッシングリンクをメールで送信。リンクをクリックするだけで感染が成立します。
  • 高度なゼロデイ脆弱性の悪用:Google ChromeやChromiumベースのブラウザのサンドボックスを回避するCVE-2025-2783という未修正の脆弱性を利用し、ブラウザのセキュリティ機構を突破しています。
  • マルウェアの技術的特徴:マルウェアは複雑な暗号化技術や鍵交換を用い、ブラウザ内でユーザーの正当性を検証。さらに、Windowsの擬似ハンドルに関する設計上の問題を突いてサンドボックスを脱出し、シェルコードを実行します。
  • 永続化と情報窃取:COMハイジャック技術でレジストリを書き換え、悪意あるDLLを特定プロセスに読み込ませることで永続化。ファイル窃取ではOffice文書やPDFなどの機密情報が狙われています。
  • 標的と影響範囲:ロシアやベラルーシのメディア、大学、政府機関、金融機関などが主な標的であり、ロシア語圏の組織や個人に大きな影響を及ぼしています。

技術的な詳細と背景情報

この攻撃は、フィッシングメールに添付されたリンクをクリックすると、まずWebGPU APIを利用した「バリデータ」スクリプトが実行されます。これはSHA-256ハッシュ計算によりユーザーの正当性をチェックし、ECDH(楕円曲線ディフィー・ヘルマン)鍵交換でC2(コマンド&コントロール)サーバーからAES-GCM暗号鍵を受け取って次のコードを復号・実行します。

サンドボックス脱出の核心は、Windowsの擬似ハンドル(特に-2のスレッドハンドル)に関する設計上の脆弱性を突く点にあります。ChromeのIPC(プロセス間通信)メカニズムの不備を利用し、攻撃者は内部通信ライブラリ(Mojo、ipcz)を静的にコンパイルして直接通信。GetCurrentThread APIの擬似ハンドルを実際のスレッドハンドルに変換し、スレッドコンテキストを操作してシェルコードを実行します。

また、Firefoxにも類似の問題があり、CVE-2025-2857として修正されています。永続化にはCOMハイジャック技術が用いられ、ユーザーのレジストリにあるCLSIDエントリを書き換えて悪意あるDLLを特定プロセス(例:rdpclip.exe)に読み込ませます。

マルウェアローダーはChaCha20の変種で暗号化されており、感染機器のBIOS UUIDにバインド可能です。メインマルウェア「LeetAgent」はリートスピーク(英数字を置き換えた暗号的表現)でコマンドを記述し、HTTPS経由でC2サーバーと通信。ファイル読み書き、プロセス実行、シェルコード注入、キーロギング、ファイル窃取など多彩な機能を持っています。

影響と重要性

この攻撃は、ロシアやベラルーシの重要な組織や個人を標的としており、政治的・経済的に大きな影響を及ぼす可能性があります。特に政府機関や金融機関、研究機関の機密情報が窃取されるリスクは深刻です。

また、ゼロデイ脆弱性はWindowsの古い設計上の最適化に起因しており、同様の問題が他のアプリケーションやWindowsサービスにも存在する可能性が指摘されています。これにより、今後も類似の攻撃が発生する恐れがあるため、継続的な監視と対策が求められます。

まとめ

「Operation ForumTroll」は、高度な技術と巧妙な社会工学を組み合わせた標的型攻撃であり、Memento Labs製のスパイウェア「Dante」が使用されていることが明らかになりました。攻撃はブラウザのゼロデイ脆弱性を悪用し、感染後は永続化や情報窃取を行います。

対策としては、フィッシングメールのリンクを不用意にクリックしないこと、ブラウザの最新アップデート適用、COMハイジャック対策のためのレジストリ監視、エンドポイント保護の強化、そして社内教育が不可欠です。今後も類似の脆弱性や攻撃手法の調査・対策が重要となるでしょう。

タグ付け処理あり:
security-user

Related Posts

中国系APTグループ「ティック」がランスコープのゼロデイ脆弱性を悪用し企業システムを乗っ取る
2025年11月2日
中国系Tickグループがランスコープのゼロデイ脆弱性を悪用し企業システムを乗っ取り
2025年11月1日
中国系Tickグループ、ランスコープのゼロデイ脆弱性を悪用し企業システムを乗っ取る
2025年11月1日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です