Home / 標的型攻撃 / メメントラボのスパイウェア『ダンテ』を用いた高度な標的型攻撃をカスペルスキーが検出

メメントラボのスパイウェア『ダンテ』を用いた高度な標的型攻撃をカスペルスキーが検出

2025年10月30日

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

高度な標的型攻撃「Operation ForumTroll」とMemento Labsのスパイウェア「Dante」の検出について

2025年3月、KasperskyはGoogle ChromeやChromium系ブラウザを狙ったゼロデイ攻撃キャンペーン「Operation ForumTroll」を発見しました。この攻撃には、イタリアのMemento Labs(旧Hacking Team)が開発した商用スパイウェア「Dante」と類似したマルウェアが使用されており、高度な技術を駆使した標的型攻撃であることが明らかになりました。

主要なポイント

  • ゼロデイ脆弱性の悪用:攻撃はGoogle Chromeのサンドボックスを回避するCVE-2025-2783という未公開の脆弱性を利用し、Googleに報告後に修正されました。
  • 感染経路の簡便さ:個別化されたフィッシングメールのリンクをクリックするだけで感染が成立し、追加操作は不要という高い感染成功率を誇ります。
  • 高度な技術的手法:WindowsのGetCurrentThread APIの疑似ハンドル仕様の欠陥を突くサンドボックス脱出や、ChromeのIPC通信の悪用、COMハイジャックによる持続性確保など、多層的な攻撃技術が用いられています。
  • 標的とされる組織:ロシアやベラルーシのメディア、大学、政府機関、金融機関などが主な標的であり、Firefoxも類似の脆弱性で影響を受けています。
  • スパイウェア「LeetAgent」の機能:コマンド実行やキーロギング、ファイル窃取など多彩な機能を持ち、HTTPS経由でC2サーバーと通信します。

技術的な詳細と背景情報

攻撃は「Primakov Readings」フォーラムの招待状を装ったフィッシングメールで始まります。送付されるリンクは短命かつ個別化されており、訪問者が実際のユーザーかをWebGPU APIで判定。ECDH(楕円曲線ディフィー・ヘルマン)鍵交換により暗号化されたペイロードを安全に受け取ります。

サンドボックス脱出はWindowsのGetCurrentThread APIの「疑似ハンドル」仕様の欠陥を突くもので、レンダラープロセスからブラウザープロセスのスレッドハンドルを不正に取得し、コード実行を可能にしました。さらにChromeのIPC通信(Mojoとipczライブラリ)を悪用し、メッセージ中継機能を使ってハンドルを乗っ取る高度な手法が使われています。

持続性確保にはCOMハイジャック技術を用い、Windowsレジストリのユーザーキーに悪意あるDLLのパスを登録して正規COMオブジェクトを乗っ取ります。メインマルウェアはChaCha20暗号の変種で暗号化され、感染機器のBIOS UUIDにバインドされているため、感染の追跡や除去が困難です。

スパイウェア「LeetAgent」はコマンドをリートスピーク(英数字を文字の代わりに使う表記法)で記述し、HTTPS経由でC2サーバーと通信。コマンド実行、プロセス起動、キーロギング、ファイル窃取など多彩なスパイ活動を行います。

影響と重要性

この攻撃はロシアやベラルーシの重要な組織を標的としており、国家レベルの情報収集や妨害活動の可能性が高いと考えられます。特にGoogle ChromeやChromium系ブラウザの脆弱性を狙った点は、世界中のユーザーに影響を及ぼすリスクを孕んでいます。また、Firefoxも類似の脆弱性(CVE-2025-2857)で影響を受けているため、ブラウザのセキュリティ対策は急務です。

さらに、Windowsの古い設計仕様である「疑似ハンドル」の欠陥が現代のセキュリティに悪影響を与えていることが示されており、同様の脆弱性が他のアプリケーションやWindowsサービスにも存在する可能性があります。これにより、継続的な脆弱性調査とシステム設計の見直しが求められます。

まとめと推奨対策

  • Google ChromeのCVE-2025-2783に対するパッチを速やかに適用すること。
  • Firefoxの類似脆弱性に対するアップデートも忘れずに行うこと。
  • フィッシングメールのリンクは不用意にクリックせず、送信元の正当性を必ず確認すること。
  • エンドポイントのセキュリティ対策を強化し、不審なCOMオブジェクトの監視を徹底すること。
  • ネットワーク通信の監視と異常検知を実施し、早期発見に努めること。
  • 重要文書のバックアップとアクセス制御の強化を行い、被害拡大を防止すること。

今回の攻撃は高度な技術と巧妙な手口が組み合わさったものであり、迅速な脆弱性対応と多層的な防御策が重要です。詳細な技術解析や対策強化の情報は、今後開催されるKawaiiconでのAlex Gough氏の講演「Responding to an ITW Chrome Sandbox Escape (Twice!)」で紹介される予定です。最新情報の収集と継続的なセキュリティ対策の実施を強く推奨します。

タグ付け処理あり:
security-user

Related Posts

グーグル、AndroidのAI防御で月間100億件の詐欺メッセージを遮断
2025年10月31日
3AMランサムウェア、電話詐称と仮想マシンで巧妙な侵入を確認
2025年10月31日
ソフォスで発生したフィッシング被害と多要素認証の突破事例分析
2025年10月31日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です