出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/
原題: Mem3nt0 mori – The Hacking Team is back!
メメントラボの商用スパイウェア「ダンテ」とフォーラムトロール攻撃の全貌
2025年3月、セキュリティ企業KasperskyはGoogle ChromeやChromiumベースのブラウザを狙った高度なゼロデイ攻撃を発見しました。この攻撃はイタリアのMemento Labsが開発した商用スパイウェア「Dante」と関連し、ロシアの政府機関やメディアを標的とした「Operation ForumTroll」と名付けられた大規模なスパイ活動でした。
主要なポイント
- ゼロデイ攻撃の発見と影響範囲:Google Chromeのサンドボックスを回避する脆弱性(CVE-2025-2783)を悪用し、悪意あるサイトを訪問するだけで感染が成立。Firefoxでも類似の脆弱性(CVE-2025-2857)が修正されています。
- 攻撃手法の巧妙さ:フィッシングメールは「Primakov Readings」フォーラムの招待を装い、個別化されたリンクでターゲットを誘導。WebGPU APIやECDH鍵交換を用いてユーザー検証と通信の暗号化を実現し、サンドボックス回避や権限昇格を高度に行っています。
- マルウェアの特徴:「Dante」関連のマルウェアは難読化やChaCha20変種暗号で保護され、COMハイジャックによる永続化を行います。メインマルウェア「LeetAgent」はリートスピークでコマンドを記述し、HTTPS経由でC2サーバーと通信します。
- 標的とされる組織:ロシアのメディア、大学、政府機関、金融機関などが主な標的であり、過去にはベラルーシの個人や組織も攻撃対象となっています。
- 対策の重要性:ブラウザの最新アップデート適用、フィッシングリンクの警戒、エンドポイントの不審な動作監視、ネットワーク通信の異常検知、多層防御体制の強化が推奨されます。
技術的な詳細や背景情報
攻撃はまずフィッシングメールから始まります。メールは「Primakov Readings」という実在のフォーラムの招待を装い、個別追跡用の短期間有効なリンクを含みます。リンクをクリックすると、悪意あるサイトがWebGPU APIを利用して訪問者が実際のユーザーかどうかを判定します。ここでECDH(楕円曲線ディフィー・ヘルマン)鍵交換を行い、AES-GCM暗号化された次段階のペイロードを安全に受け取ります。
サンドボックス回避はWindowsの疑似ハンドル機能を悪用し、特にGetCurrentThreadの「-2」という特殊な値を使ってChromeのIPC通信機構(Mojo/ipcz)を介した権限昇格を実現します。さらに、ChromeのJavaScriptエンジンのv8_inspector::V8Console::Debug関数をフックし、console.debugの呼び出しでマルウェアのペイロードを実行させる高度な技術も用いられています。
永続化にはCOMハイジャック技術が使われ、WindowsのHKCUレジストリにあるtwinapi.dllのCLSIDを乗っ取って悪意あるDLLをロードします。マルウェア本体はMetasploitに似たバイナリエンコーダとOLLVMによる難読化を施され、ChaCha20の変種暗号で復号されます。
メインマルウェア「LeetAgent」はコマンドをリートスピーク(英数字を意図的に置き換えた言語表現)で記述し、HTTPS通信を通じてC2(コマンド&コントロール)サーバーと通信します。実行可能なコマンドには、プロセスの起動、ファイルの読み書き、シェルコード注入、キーロギング、ファイル窃盗など多岐にわたる機能が含まれています。
影響や重要性
この攻撃はロシアの重要なメディアや政府機関、大学、金融機関を標的にしており、国家レベルのスパイ活動の一環と見られています。Google ChromeやChromiumベースのブラウザ利用者だけでなく、Firefoxユーザーも類似の脆弱性の影響を受ける可能性があるため、広範囲に影響が及ぶ恐れがあります。
また、脆弱性の根本原因はWindowsの古い設計思想にある疑似ハンドルの扱いに起因しており、同様の問題は他のアプリケーションやシステムサービスにも存在する可能性があります。Memento Labsの商用スパイウェアがAPT(高度持続的脅威)攻撃に使われる事例は珍しく、攻撃者の高度な技術力と資金力を示唆しています。
今後もサンドボックス回避やIPC通信に関する脆弱性は警戒が必要であり、セキュリティコミュニティは継続的な監視と対策強化が求められます。
まとめ
「Operation ForumTroll」は、Memento Labsの商用スパイウェア「Dante」を用いた高度なゼロデイ攻撃キャンペーンであり、ロシアの重要組織を狙った大規模なスパイ活動です。攻撃は巧妙なフィッシング手法と最新の暗号技術、Windowsの設計上の弱点を突いたサンドボックス回避技術を駆使しています。
ユーザーはブラウザの最新アップデートを適用し、フィッシングメールのリンクを不用意にクリックしないことが重要です。組織は多層防御体制の構築とインシデント対応体制の強化を図り、エンドポイントやネットワークの異常検知を徹底する必要があります。今後も類似の脆弱性や攻撃手法に対する警戒を怠らないことが求められます。
