メメントラボのスパイウェア「ダンテ」を使った高度な標的型攻撃をカスペルスキーが検出

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

高度なゼロデイ攻撃「Operation ForumTroll」とMemento Labsのスパイウェア「Dante」について

2025年3月、セキュリティ企業Kaspersky（カスペルスキー）は、イタリアのMemento Labs（旧Hacking Team）が開発した商用スパイウェア「Dante（ダンテ）」を用いた高度な標的型攻撃キャンペーン「Operation ForumTroll」を検出しました。この攻撃はGoogle ChromeやChromiumベースのブラウザのゼロデイ脆弱性を悪用し、ロシアのメディアや政府機関などを標的にしていました。

主要なポイント

• ゼロデイ脆弱性の悪用：Google Chromeのサンドボックスを回避するCVE-2025-2783という未公開の脆弱性を利用し、悪意のあるサイトにアクセスするだけで感染が成立。
• 標的型フィッシング：「Primakov Readings」フォーラムの招待状を装ったロシア語の自然なフィッシングメールで、短期間のみ有効なカスタマイズされたリンクを配布。
• 高度な技術的手法：WebGPU APIによる訪問者の正当性検証、ECDH鍵交換での通信暗号化、Windowsの擬似ハンドルの設計欠陥を突いたサンドボックス回避など、多層的な攻撃チェーン。
• 持続性の確保：COMオブジェクトのハイジャック技術を用い、レジストリの特定DLLのCLSIDを書き換えて悪意のあるDLLをロードし続ける。
• 多機能スパイウェア「LeetAgent」：コマンド実行、キーロギング、ファイル窃取などを行い、C2サーバーとHTTPS通信で制御される。

技術的な詳細や背景情報

攻撃はまず、ロシア語で自然に書かれたフィッシングメールで被害者を誘導します。悪意のあるサイトでは最新のWebGPU APIを使い、SHA-256ハッシュ計算で訪問者の正当性をチェック。さらにECDH（楕円曲線Diffie-Hellman）鍵交換によりAES-GCM暗号鍵を取得し、次の攻撃段階を復号します。

サンドボックス回避はWindowsの擬似ハンドル、特にスレッド擬似ハンドル（-2）に存在する設計上の欠陥を悪用。Chromeのプロセス間通信（IPC）機構であるMojoとipczライブラリを操作し、擬似ハンドルを実際のハンドルに変換、ブラウザプロセス内でシェルコードを実行します。

持続性確保のため、COM（Component Object Model）オブジェクトのハイジャック技術を用い、レジストリのCLSIDを書き換えて悪意のあるDLLをロード。メインマルウェアはChaCha20暗号の変種で暗号化され、感染機器のBIOS UUIDにバインドされるため、感染の特定と追跡が困難です。

スパイウェア「LeetAgent」はリートスピーク（英語の文字を数字や記号に置き換えた表現）でコマンドを実装し、HTTPS経由でC2（コマンド＆コントロール）サーバーと通信。プロセス起動やキーロギング、ファイル窃取など多彩な機能を持ちます。

影響や重要性

• ロシアのメディア、大学、政府機関、金融機関などの重要組織が標的となり、国家レベルのスパイ活動の一環と見られる。
• ベラルーシやロシアの個人や組織も過去に攻撃を受けており、地域的な影響も大きい。
• Google Chromeだけでなく、類似のIPC機構を持つFirefoxも同様の脆弱性（CVE-2025-2857）が修正されており、ブラウザ利用者全般に影響。
• Windowsの設計上の欠陥を突いた攻撃は今後も類似の脆弱性が他のアプリケーションやサービスで発見される可能性が高い。

推奨される対策

• Google ChromeおよびFirefoxの最新アップデートを速やかに適用し、CVE-2025-2783およびCVE-2025-2857の修正を反映する。
• フィッシングメールに対する警戒を強化し、不審なリンクは絶対にクリックしない。
• エンドポイント保護製品を導入し、「LeetAgent」などのスパイウェアを検出・駆除する。
• COMオブジェクトのハイジャック対策としてレジストリの不正変更監視を行い、システムの整合性を保つ。
• 重要なドキュメントは定期的にバックアップし、アクセス制御を強化する。

まとめ

「Operation ForumTroll」は、Memento Labsの商用スパイウェア「Dante」を用いた高度かつ巧妙な標的型攻撃であり、Google Chromeのゼロデイ脆弱性を悪用して感染を成立させる点が特徴です。攻撃は多層的な暗号化やサンドボックス回避技術を駆使し、持続性を確保するなど非常に洗練されています。特にロシアの重要機関が標的となっているため、国家レベルのサイバー諜報活動の一端と考えられます。

ユーザーや組織は最新のブラウザアップデートを適用し、フィッシング対策やエンドポイント保護を強化することが不可欠です。また、Windowsの設計上の欠陥を突く攻撃は今後も発生しうるため、継続的な監視と対策が求められます。Kasperskyの詳細解析やGoogleの修正対応は、今後のブラウザセキュリティ強化に重要な示唆を与えています。