Операция «Форумный тролль»: APT-атака с цепочкой эксплойтов нулевого дня для Google Chrome

В середине марта 2025 года технологии «Лаборатории Касперского» распознали волну заражений ранее неизвестным сложным вредоносным ПО. Заражение происходило сразу после того, как жертва открывала ссылку из фишингового письма в браузере Google Chrome. При этом никаких дополнительных действий от нее не требовалось.

Все вредоносные ссылки были персонализированы и имели очень короткий срок жизни, однако технологии «Лаборатории Касперского» по обнаружению и защите от эксплойтов смогли идентифицировать эксплойт нулевого дня, который использовался для побега из песочницы Google Chrome. Мы быстро проанализировали код эксплойта, восстановили логику его работы и убедились, что эксплойт основан на уязвимости нулевого дня (присутствующей в том числе в последней версии Chrome), после чего сообщили о ней команде безопасности Google. Наш подробный отчет позволил разработчикам быстро исправить проблему: 25 марта 2025 года компания Google выпустила обновление, исправляющее уязвимость, и поблагодарила нас за обнаружение этой атаки.

Подтверждение CVE-2025-2783 (выдержка из исправлений проблем безопасности в Chrome 134.0.6998.177/.178)

В прошлом мы обнаружили десятки эксплойтов нулевого дня, которые активно использовались в атаках, и сообщили о них вендорам, но этот эксплойт, несомненно, является одним из самых интересных, с которыми мы столкнулись. Уязвимость CVE-2025-2783 действительно заставила нас поломать голову, поскольку позволяла легко обходить защиту песочницы Google Chrome без каких-либо очевидно вредоносных или запрещенных действий — как если бы ее вообще не существовало. Причиной этого оказалась логическая ошибка на стыке песочницы и операционной системы Windows. Мы планируем опубликовать технические подробности этой уязвимости после того, как большинство пользователей установят обновленную версию с исправлением.

Наше исследование еще продолжается, но, судя по функциональности сложного вредоносного ПО, использованного в атаке, целью злоумышленников был шпионаж. Вредоносные письма содержали приглашения от лица организаторов научно-экспертного форума «Примаковские чтения» и были нацелены на средства массовой информации, образовательные учреждения и правительственные организации в России. Мы назвали эту кампанию «Форумный тролль», опираясь на тематику писем.

Пример письма злоумышленников

На момент написания статьи вредоносная ссылка не ведет на эксплойт, а перенаправляет посетителей на официальный сайт «Примаковских чтений», однако мы настоятельно рекомендуем не переходить по вредоносной ссылке.

Обнаруженный нами эксплойт был разработан для запуска вместе с дополнительным эксплойтом, позволяющим удаленно выполнять код. К сожалению, нам не удалось получить второй эксплойт. Мы могли бы это сделать, но тогда пришлось бы дожидаться новой волны атак и подвергать пользователей риску заражения. Исправление для уязвимости побега из песочницы предотвращает использование всей цепочки для дальнейших атак.

Все проанализированные на данный момент артефакты атак указывают на очень высокий технический уровень злоумышленников. Это позволяет нам с уверенностью утверждать, что за этой атакой стоит очень продвинутая и спонсируемая государством APT-группа.

Мы планируем вскоре опубликовать подробный отчет с данными об эксплойте нулевого дня, сложном вредоносном ПО и техниках злоумышленников.

Продукты «Лаборатории Касперского» обнаруживают эксплойты и вредоносное ПО, использованные в этой атаке, со следующими вердиктами:

• Exploit.Win32.Generic
• Trojan.Win64.Agent
• Trojan.Win64.Convagent.gen
• PDM:Exploit.Win32.Generic
• PDM:Trojan.Win32.Generic
• UDS:DangerousObject.Multi.Generic

Индикаторы компрометации

primakovreadings[.]info