Поделиться
Операция «Форумный тролль»: новая APT-атака с использованием уязвимости нулевого дня в Chrome
В марте 2025 г. сотрудники средств массовой информации, образовательных учреждений и правительственных организаций в России подверглись ранее неизвестной целевой атаке Операция «Форумный тролль». Волну попыток заразить пользователей сложным вредоносным ПО с применением нескольких эксплойтов нулевого дня распознали технологии «Лаборатории Касперского». Эксперты Kaspersky GReAT (глобального центра исследований и анализа угроз «Лаборатории Касперского») сообщили об обнаруженной бреши в команду безопасности Google, в результате чего 25 марта 2025 г. было выпущено обновление, исправляющее уязвимость CVE-2025-2783. Об этом CNews сообщили представители «Лаборатории Касперского».
Персонализированные атаки. Сотрудники российских организаций получали письмо с предложением принять участие в научно-экспертном форуме «Примаковские чтения» якобы от его организаторов. В грамотно написанном тексте о мероприятии содержалась персонализированная ссылка. Если жертва переходила по ней и открывался браузер Chrome (или другой браузер на движке Chromium), устройство сразу заражалось, никаких дополнительных действий от пользователя не требовалось.
Операция «Форумный тролль». Технологии обнаружения и защиты от эксплойтов «Лаборатории Касперского» смогли идентифицировать атаку. Исследование Kaspersky GReAT подтвердило, что злоумышленники применяли эксплойт нулевого дня для побега из «песочницы» веб-браузера Chrome, в том числе последней версии. Целью сложного вредоносного ПО, использованного в атаке, был шпионаж. Уязвимость CVE-2025-2783 позволяла легко обойти защиту «песочницы» Chrome, не совершая никаких очевидно вредоносных или запрещенных действий. Причиной этого оказалась логическая ошибка на стыке «песочницы» и операционной системы Windows.
«В операции «Форумный тролль» использовался один из самых изощренных эксплойтов, которые исследовала команда Kaspersky GReAT. Анализ артефактов показал, что вредоносная кампания проводилась злоумышленниками с очень высоким техническим уровнем подготовки. Мы можем с уверенностью говорить, что за этой атакой стоит спонсируемая государством APT-группа, — сказал Борис Ларин, ведущий эксперт Kaspersky GReAT. — Как только большинство пользователей установят исправленную версию Chrome, мы опубликуем подробный отчет с техническими данными и подробностями об эксплойте нулевого дня, сложном вредоносном ПО и техниках злоумышленников».
Для защиты компаний эксперты рекомендуют: использовать комплексное решение, обеспечивающее обнаружение эксплойтов в режиме реального времени и решение для защиты корпоративной переписки; проводить тренинги по кибербезопасности для сотрудников, в том числе обучать их тому, как распознавать целевые фишинговые атаки.
Короткая ссылка
