Home / ゼロデイ攻撃 / メメントラボ社のスパイウェア「ダンテ」が再びロシア標的の標的型攻撃で確認

メメントラボ社のスパイウェア「ダンテ」が再びロシア標的の標的型攻撃で確認

2025年10月31日

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

メメントラボ社のスパイウェア「ダンテ」が再びロシアを標的とした標的型攻撃で確認される

2025年3月、セキュリティ企業Kasperskyは、Google ChromeやChromiumベースのブラウザを利用するユーザーを狙った新たなゼロデイ攻撃を発見しました。この攻撃は、イタリアのメメントラボ社(旧Hacking Team)が開発した商用スパイウェア「Dante(ダンテ)」を用いた高度な標的型攻撃「Operation ForumTroll」の一環であり、主にロシアの重要機関を狙っています。

主要なポイント

  • ゼロデイ脆弱性の悪用: CVE-2025-2783というGoogle Chromeのサンドボックス回避脆弱性を利用し、ユーザーが悪意あるフィッシングリンクをクリックするだけで感染が成立。
  • 標的型攻撃の特徴: ロシアのメディア、大学、政府機関、金融機関などを狙い、個別にパーソナライズされた短命のフィッシングリンクをメールで送信。
  • 高度なマルウェア技術: WebGPU APIやECDH鍵交換を利用した検証・復号、COMハイジャックによる持続性確保、ChaCha20変種暗号化による感染機特定など、多層的な攻撃チェーン。
  • スパイウェア「LeetAgent」の機能: HTTPS経由でC2サーバと通信し、コマンド実行、キーロギング、ファイル窃取、シェルコード注入など多彩なスパイ活動を実施。
  • 影響範囲と対策: ロシア・ベラルーシの重要機関やChromium系ブラウザ利用者が対象。最新のブラウザアップデート適用やフィッシング対策、EDR導入が推奨される。

技術的な詳細や背景情報

今回の攻撃は、フィッシングメールに含まれるリンクをクリックしたユーザーが悪意あるサイトに誘導されることで始まります。悪意あるサイトは初回感染時のみマルウェアコードを配信し、その後は公式サイトへリダイレクトする巧妙な手法を採用しています。

感染の鍵となるのは、WebGPU APIを用いたSHA-256ハッシュ計算によるユーザー検証と、楕円曲線Diffie-Hellman(ECDH)鍵交換によるAES-GCM暗号鍵の取得です。これにより、攻撃者は次の攻撃段階のコードを安全に復号し実行します。

ゼロデイ脆弱性CVE-2025-2783は、Windowsの擬似ハンドル(特にスレッド擬似ハンドル-2)を悪用し、Chromeのプロセス間通信(IPC)機構であるipczを介して不正にハンドルを実体化、サンドボックスの制限を突破します。これにより、ブラウザプロセス上でシェルコードが実行され、マルウェアローダがインストールされます。

持続性の確保にはCOMハイジャック技術が使われ、WindowsレジストリのCLSIDを書き換えて正規DLLの代わりに悪意あるDLLを読み込ませる手法が採用されています。メインマルウェアはChaCha20暗号の変種で暗号化され、感染端末はBIOSのUUIDにより一意に特定可能です。

スパイウェア「LeetAgent」は、リートスピーク(英数字を文字の代わりに使う暗号化的表記)で記述されたコマンドをHTTPS経由でC2サーバと通信し、多様なスパイ活動を実行します。これにはキーロギング、ファイルの読み書き、プロセス起動、シェルコード注入などが含まれます。

影響や重要性

この攻撃はロシアのメディア、大学、政府機関、金融機関などの重要インフラを標的としており、国家レベルの情報収集や妨害活動の一環と考えられます。また、Chromium系ブラウザを利用する多くのユーザーが潜在的なリスクにさらされている点も深刻です。

さらに、今回の脆弱性はWindowsの擬似ハンドルの設計上の古い最適化に起因しており、同様の問題が他のアプリケーションやWindowsサービスにも存在する可能性があります。これは今後のセキュリティ対策においても重要な示唆を与えています。

Kasperskyは攻撃の詳細解析と報告を通じて、Googleやセキュリティコミュニティと連携し、脆弱性の修正と防御策の普及に貢献しています。

まとめ

メメントラボ社の「Dante」スパイウェアを用いた「Operation ForumTroll」は、巧妙かつ高度な技術を駆使した標的型攻撃であり、特にロシアの重要機関を狙っています。ゼロデイ脆弱性を悪用し、ユーザーがフィッシングリンクをクリックするだけで感染が成立するため、日常的なセキュリティ意識の向上が不可欠です。

対策としては、Google ChromeやFirefoxの最新アップデートの適用、フィッシングメールの警戒、EDRやアンチウイルスの導入と監視体制の強化が推奨されます。重要組織は多層防御とセキュリティ教育を徹底し、標的型攻撃への備えを強化する必要があります。

タグ付け処理あり:
security-user

Related Posts

中国系ハッカー、Windowsショートカット脆弱性を悪用し欧州外交官を標的に
2025年11月2日
PassiveNeuronキャンペーン、政府や金融機関のWindowsサーバーを標的に攻撃継続
2025年11月1日
PassiveNeuronキャンペーン、政府・金融機関のWindowsサーバーを標的に攻撃継続
2025年10月30日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です