Home / スパイウェア / メメントラボのスパイウェア「ダンテ」使用、標的型フィッシング攻撃をカスペルスキーが検出

メメントラボのスパイウェア「ダンテ」使用、標的型フィッシング攻撃をカスペルスキーが検出

2025年11月2日

出典: Securelist – https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

原題: Mem3nt0 mori – The Hacking Team is back!

カスペルスキーが検出した高度スパイウェア「Dante」を用いた標的型フィッシング攻撃

2025年3月、セキュリティ企業カスペルスキーは、イタリアのメメント・ラボ製スパイウェア「Dante」を用いた大規模な標的型フィッシング攻撃「オペレーション・フォーラムトロール」を検出しました。本記事では、この攻撃の技術的背景や影響、対策について詳しく解説します。

主要なポイント

  • 大規模な標的型フィッシング攻撃の発見: ロシアのメディア、大学、政府機関、金融機関などを狙った攻撃キャンペーンが明らかに。
  • Google Chromeのゼロデイ脆弱性を悪用: CVE-2025-2783を利用し、ブラウザのサンドボックス機能を回避して任意コード実行を実現。
  • 高度な商用スパイウェア「Dante」の初公開: 難読化やアンチ解析技術を備えたスパイウェアで、自己防御機能も搭載。
  • 感染の開始は個別化されたフィッシングメールから: 悪意あるリンククリック後、ブラウザ環境を詳細に検証し標的を判別。
  • 多層的な攻撃技術と永続化手法: IPC通信の脆弱性悪用、COMオブジェクトのCLSIDハイジャック、ChaCha20改良版による復号など。

技術的な詳細と背景

攻撃は、ChromeやChromiumベースのブラウザに存在したゼロデイ脆弱性(CVE-2025-2783)を悪用しています。この脆弱性は、ブラウザのマルチプロセス構造におけるプロセス間通信(IPC)で使われる疑似ハンドルの不十分な検査が原因です。特に、スレッドハンドル「-2」に対する検証不足が根本的な問題となりました。

攻撃者は、フィッシングメールのリンクをクリックさせた後、悪意のあるウェブサイト上でWebGPU APIを用いたSHA-256ハッシュ計算により、正規ユーザーかどうかを判別。これにより標的以外の感染を防ぎつつ、高度なサンドボックス回避を実現しました。

マルウェアはDLL内のコードガジェットを利用してブラウザプロセス内で任意コードを実行し、COMオブジェクトのCLSIDハイジャックを通じてWindowsユーザーレジストリ(HKCU)に永続化します。マルウェアローダーはChaCha20の改良版で暗号化されており、感染端末のBIOS UUIDを用いて個別にバインドされる仕組みです。

「Dante」スパイウェアは、VMProtectによる難読化やアンチデバッグ、アンチサンドボックス技術を多数搭載。AES-256-CBC暗号化されたモジュール管理や、一定期間コマンドを受信しない場合に自己削除する自己防御機能も備えています。

影響と重要性

  • ロシアやベラルーシの重要機関や個人が標的となり、国家レベルの情報窃取が懸念される。
  • Google ChromeやChromiumベースのブラウザ利用者全般に影響が及び、同様のIPC機構を持つFirefoxなど他ブラウザも脆弱性の影響を受けた可能性がある。
  • Windowsの擬似ハンドルAPIの仕様とブラウザのIPC実装の古い最適化が現代のセキュリティに悪影響を及ぼした事例として注目される。
  • 商用スパイウェア市場の複雑さと高度化を示し、今後も類似攻撃や新たなモジュールの解析が進む見込み。

推奨される対策

  • Google Chromeおよび他のブラウザの最新パッチ(CVE-2025-2783、CVE-2025-2857など)を速やかに適用する。
  • フィッシングメールのリンククリックを慎重に行い、不審なメールは開かない。
  • セキュリティベンダーのAPTレポートや侵害指標(IOC)を活用し、検知体制を強化する。
  • COMオブジェクトのCLSID書き換えなど不正な永続化手法を監視する。
  • ネットワークトラフィックの異常検知やC2(コマンド&コントロール)通信の監視を徹底する。
  • 既知のマルウェア検出名(例:Exploit.Win32.Generic、Trojan.Win64.Agentなど)に基づくスキャンを実施する。

まとめ

カスペルスキーが検出した「オペレーション・フォーラムトロール」は、Google Chromeのゼロデイ脆弱性を悪用し、イタリアのメメント・ラボ製スパイウェア「Dante」を用いた高度な標的型攻撃です。攻撃は多層的かつ高度な技術で構成されており、国家レベルの重要機関が標的となっています。利用者はブラウザの最新アップデート適用やフィッシング対策を徹底し、企業や組織は侵害指標を活用した検知体制の強化が求められます。今後も関連するマルウェアの解析が進むため、継続的な情報収集と対策が重要です。

タグ付け処理あり:
security-user

Related Posts

カスペルスキー、Mメントラボ製スパイウェア「ダンテ」の標的型攻撃を検出
2025年10月31日
メメントラボのスパイウェア「ダンテ」とフォーラムトロール攻撃の全貌
2025年10月31日
メメントラボのスパイウェア「ダンテ」を使った高度な標的型攻撃をカスペルスキーが検出
2025年10月31日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です