2025-ben egy kritikus zero-day sérülékenységet fedeztek fel a Google Chrome böngészőben, amelyet az év elején az Operation ForumTroll kampány során kihasználtak. Ez a támadás rosszindulatú szoftvert juttatott el az áldozatokhoz, amely kapcsolatba hozható az olasz Memento Labs nevű kémprogram-fejlesztő céggel, amely a hírhedt Hacking Team megszerzése után jött létre.
Az Operation ForumTroll kampány felfedezése és célpontjai
A Kaspersky biztonsági kutatói márciusban leplezték le az Operation ForumTroll nevű kibertámadási kampányt. A támadás elsősorban orosz szervezeteket célozott meg, köztük:
- médiaorgánumokat,
- egyetemeket,
- kutatóközpontokat,
- kormányzati intézményeket,
- pénzügyi szervezeteket.
A támadók gondosan megtervezett meghívókat küldtek ki a Primakov Readings fórumra, amelyekben egy rosszindulatú link szerepelt. A link megnyitása bármely Chromium-alapú böngészőben elegendő volt ahhoz, hogy a számítógép fertőződjön.
A zero-day sérülékenység: CVE-2025-2783
A Kaspersky kutatói szerint a rosszindulatú program terjesztése a Chrome böngésző egyik kritikus hibájának kihasználásával történt. Ez a sebezhetőség, azonosítója szerint CVE-2025-2783, egy sandbox escape típusú zero-day hiba volt, amely lehetővé tette a támadók számára, hogy kikerüljék a böngésző biztonsági korlátait és végrehajtsanak káros kódot.
A támadási lánc részletei és a rosszindulatú szoftverek
A Kaspersky legfrissebb jelentése további részleteket közöl az Operation ForumTroll támadási láncáról. A kutatók megállapították, hogy a kampányban használt rosszindulatú programok legalább 2022 óta jelen vannak, és más oroszországi és fehéroroszországi szervezetek elleni támadásokhoz is kapcsolódnak.
Dante – az ismeretlen kémprogram felfedezése
A korábbi támadások elemzése során egy ismeretlen kémprogramot találtak, amelyet „Dante” néven azonosítottak. Ez egy kereskedelmi célú kémprogram volt, amelyet az olasz Memento Labs fejlesztett ki. A Memento Labs egy új vállalat, amely a korábbi milánói székhelyű Hacking Team szakértelmére épül.
A Hacking Team története és átalakulása Memento Labs-sá
A Hacking Team híres volt Remote Control System (RCS) nevű kémprogramjáról, amelyet hatóságoknak értékesítettek megfigyelési célokra. Azonban 2015-ben súlyos adatvédelmi incidens érte őket: feltörték a cég rendszereit, ami napvilágra hozta autoriter rezsimeknek történő eladásokat és zero-day exploitok használatát. 2019-ben az InTheCyber Group felvásárolta a céget, majd ebből alakult meg a Memento Labs.
A LeetAgent és Dante kémprogramok működése
Az Operation ForumTroll támadásai egy személyre szabott phishing e-maillel kezdődnek, amely rövid életű linket tartalmaz egy rosszindulatú weboldalra. Egy validátor szkript kiszűri a látogatókat annak érdekében, hogy csak a célpontokat fertőzzék meg.
A következő lépésben kihasználják a CVE-2025-2783 sebezhetőséget, hogy shellcode végrehajtást érjenek el a böngésző folyamatában és telepítsenek egy állandó betöltőt (loader), amely egy rosszindulatú DLL-t injektál.
A DLL dekódolja a fő payloadot, amelyet LeetAgentnek neveznek – ez egy moduláris kémprogram, amely támogatja parancsvégrehajtást, fájlműveleteket, billentyűnaplózást és adatlopást. A Kaspersky kutatói szerint különlegessége abban rejlik, hogy parancsait leetspeak nyelven valósítja meg. Feltételezik továbbá, hogy ez is kereskedelmi célú spyware lehet.
Támadási lánc vizualizációja
A Kaspersky által közzétett ábra szerint az elsődleges fertőzés után LeetAgent több esetben Dante telepítésére szolgált. Dante moduláris felépítésű spyware, amely komponenseket tölt le egy parancs-és-irányítási (C2) szerverről. Ha nem kap kommunikációt bizonyos napokon keresztül az irányító szervertől, önmagát és minden nyomát törli.
Dante spyware jellemzői és bizonytalanságok
Bár Dante kódja hasonlóságot mutat a Hacking Team RCS malware-ével, így nagy biztonsággal kötik össze azt a Memento Labs-szal, sajnos nem sikerült modulokat begyűjteni elemzésre. Emiatt Dante pontos funkciói és képességei továbbra sem dokumentáltak teljes körűen.
Kiberbiztonsági frissítések és védekezés
A Google március 26-án javította a CVE-2025-2783 sebezhetőséget a Chrome 134.0.6998.178 verziójában. Ezzel párhuzamosan a Mozilla Firefox is kezelte ugyanezt a problémát (CVE-2025-2857) 136.0.4-es verziójában.
Bár Kaspersky nagy biztonsággal társította az advanced spyware-t Memento Labs-hoz, maga a Chrome sandbox escape zero-day exploit szerzője lehet más entitás is.
Következtetések és további információk
Az Operation ForumTroll kampány rávilágít arra, milyen veszélyesek lehetnek az eddig ismeretlen zero-day sebezhetőségek és hogyan használják ki őket jól szervezett kibertámadások során állami vagy félállami szereplők által támogatott csoportok.
Memento Labs, mint utódvállalatként folytatva a Hacking Team örökségét, továbbra is fejlett kémprogramokat fejleszt – bár ezek pontos képességei még nem teljesen ismertek.
Fontos tehát minden felhasználónak és szervezetnek rendszeresen frissíteni böngészőit és alkalmazni megfelelő biztonsági intézkedéseket annak érdekében, hogy minimalizálják az ilyen típusú fenyegetések okozta károkat.