出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/
原題: Mem3nt0 mori – The Hacking Team is back!
メメントラボの商用スパイウェア「ダンテ」と新型ゼロデイ攻撃の全貌
2025年3月、KasperskyはGoogle ChromeやChromiumベースのブラウザを狙った高度なゼロデイ攻撃を検出しました。この攻撃は、イタリアのメメントラボが開発した商用スパイウェア「Dante」と関連し、ロシアの重要機関を標的とした大規模なスパイ活動の一環であることが明らかになりました。
主要なポイント
- ゼロデイ攻撃の検出と特徴:悪意あるウェブサイトにアクセスするだけで感染する脆弱性(CVE-2025-2783)が発見され、Google Chromeのサンドボックスを回避する高度な手法が使われていました。
- 攻撃キャンペーン「Operation ForumTroll」:ロシアのメディア、大学、政府機関、金融機関を狙い、個別にカスタマイズされたフィッシングメールを用いて感染を広げていました。
- マルウェア「Dante」と「LeetAgent」:2022年から存在する商用スパイウェア「Dante」と関連し、AES-GCM暗号化やChaCha20変種を用いた高度な暗号化技術でペイロードを隠蔽しています。
- Windowsの脆弱性を悪用したサンドボックス回避:ChromeのIPC通信機構にある論理的欠陥とWindowsの疑似ハンドルの誤変換を突き、ブラウザ内でシェルコードを実行してマルウェアローダーをインストールします。
- 持続性と通信手法:COMハイジャックによる持続性確保と、HTTPS経由でC2サーバーと通信し、リモートコマンド実行やファイル窃取を行います。
技術的な詳細や背景情報
攻撃は「Primakov Readings」というフォーラムの招待状を装ったロシア語のフィッシングメールから始まります。悪意あるサイトはWebGPU APIを活用し、訪問者が実際のユーザーかどうかを判別する「バリデータ」スクリプトを実行。これにより自動解析やサンドボックス環境を回避しています。
サンドボックス回避の核心は、ChromeのIPC(Inter-Process Communication)通信機構であるMojoとipczに存在する論理的脆弱性です。Windowsの疑似ハンドル(特に-2のスレッドハンドル)が実際のハンドルに誤って変換される点を悪用し、GetCurrentThread APIを通じてブラウザプロセス内で任意コード(シェルコード)を実行します。
マルウェアローダーはChaCha20の変種で暗号化されたペイロードを復号し、感染機器のBIOS UUIDにバインドすることで特定の環境に限定した動作を可能にしています。スパイウェア「LeetAgent」はリートスピーク(英数字を一部記号に置き換えた表記)でコマンドを記述し、HTTPS通信でC2サーバーとやり取りを行います。主な機能はコマンド実行、ファイル操作、シェルコード注入、キーロギング、ファイル窃取など多岐にわたります。
影響や重要性
この攻撃はロシアのメディア、大学、研究機関、政府機関、金融機関を中心に、ベラルーシの組織や個人にも影響を及ぼしています。Google ChromeやChromiumベースのブラウザ利用者はもちろん、Firefox利用者も類似の脆弱性(CVE-2025-2857)の影響を受ける可能性があります。
特に注目すべきは、Windowsの古い最適化である疑似ハンドルの扱いが現代のセキュリティに新たな穴を生み出している点です。この脆弱性は他のアプリケーションやWindowsサービスにも存在する可能性があり、今後のセキュリティ対策の重要な課題となっています。
まとめ
メメントラボの商用スパイウェア「Dante」を用いた今回のゼロデイ攻撃は、高度な暗号技術とWindowsの深いシステム挙動の隙を突く巧妙な手法で実行されました。標的型フィッシングメールと組み合わせることで、広範囲にわたる組織を長期間にわたり監視・情報窃取していたことが明らかになっています。
対策としては、Google ChromeおよびFirefoxの最新パッチ適用、フィッシングメールへの警戒、エンドポイントのセキュリティ強化、ネットワーク監視の徹底が不可欠です。さらに、WindowsのIPCやハンドル管理の脆弱性に対する理解と対策も求められます。
詳細な技術解説や対策については、KawaiiconでのAlex Gough氏の講演「Responding to an ITW Chrome Sandbox Escape (Twice!)」が参考になります。今後も最新の情報を追い、適切な防御策を講じることが重要です。
