出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/
原題: Mem3nt0 mori – The Hacking Team is back!
Mem3nt0 mori – ハッキングチームが復活!
2025年3月、セキュリティ企業Kasperskyは、個別化されたフィッシングリンクを介した大規模な攻撃キャンペーン「Operation ForumTroll」を検出しました。この攻撃はGoogle ChromeやChromiumベースのブラウザの高度なゼロデイ脆弱性を悪用し、ロシアやベラルーシの重要組織を標的にしたスパイ活動を行っていました。
主要なポイント
- 高度なゼロデイ脆弱性の悪用:Google Chromeのサンドボックスを回避するCVE-2025-2783が利用され、攻撃はブラウザのIPC通信の欠陥を突いています。
- フィッシングメールによる感染:「Primakov Readings」フォーラムの招待状を装った個別化された短命リンクが使われ、ユーザーがクリックするだけで感染が成立。
- 商用スパイウェア「Dante」の使用:イタリアのMemento Labs(旧Hacking Team)製のスパイウェアが用いられ、過去の攻撃とも関連が示唆されています。
- 持続性と難読化技術:COMオブジェクトのハイジャックや高度な難読化技術、ChaCha20改変アルゴリズムによる暗号化で検知を困難にしています。
- 幅広い標的と影響:ロシアのメディア、大学、政府機関、金融機関などに加え、Firefoxも同様の脆弱性(CVE-2025-2857)で影響を受けています。
技術的な詳細や背景情報
攻撃はフィッシングメールに含まれる個別化されたリンクから始まります。リンク先の悪意あるサイトはWebGPU APIを用いてSHA-256ハッシュを計算し、訪問者が実際のユーザーかを判別する「バリデータ」スクリプトを実行します。これにより自動解析やボットの検出を回避しています。
鍵交換には楕円曲線Diffie-Hellman(ECDH)アルゴリズムを使い、AES-GCM鍵で攻撃の次段階を復号化。ゼロデイ脆弱性CVE-2025-2783はWindowsの擬似ハンドル(特にGetCurrentThreadの-2)に起因し、ChromeのIPCメッセージ処理で不適切な検証によりレンダラープロセスがブラウザープロセスのスレッドハンドルを取得可能となります。これを利用してサンドボックスを回避し、攻撃コードを実行します。
持続性はCOMオブジェクトのハイジャック技術で実現。特定のCLSIDをユーザーのレジストリで上書きし、悪意あるDLLを読み込ませる仕組みです。マルウェアローダーはMetasploitに似たバイナリエンコーダとOLLVMによる難読化を用い、ChaCha20改変アルゴリズムでメインマルウェアを復号。さらにBIOS UUIDで暗号化し、感染機器に固有化しています。
影響や重要性
この攻撃はロシアやベラルーシのメディア、大学、研究機関、政府機関、金融機関などの重要組織を標的にしており、国家レベルのスパイ活動と見られています。また、Google ChromeだけでなくFirefoxも同様の脆弱性に影響を受けているため、世界中のユーザーにとっても重大なリスクです。
特にWindowsの古い最適化技術である擬似ハンドルの利用が現代のセキュリティに新たな脆弱性をもたらしている点は、OS設計の根本的な問題を示唆しています。今後も同様のIPC通信やOS設計上の問題を突く脆弱性が発見される可能性が高く、開発者やセキュリティ担当者は注意が必要です。
まとめ
「Operation ForumTroll」は高度な技術と巧妙な社会工学を組み合わせた最新のAPT攻撃キャンペーンであり、旧Hacking Teamの流れを汲むMemento Labsの商用スパイウェア「Dante」が使用されています。ユーザーはブラウザの最新アップデートを適用し、フィッシングメールのリンクを不用意にクリックしないことが重要です。企業や組織はCOMオブジェクトのハイジャック対策を含むエンドポイント防御を強化し、Kasperskyなどのセキュリティソリューションによる早期検知体制を整えることが求められます。
また、開発者はWindowsの擬似ハンドルを含むIPC通信の脆弱性を意識し、コードレビューや脆弱性検査を強化する必要があります。今後もOSやブラウザの設計上の問題を突く攻撃が増加する可能性が高いため、継続的なセキュリティ対策が不可欠です。
