HackerNews 编译,转载请注明出处:
谷歌Chrome浏览器中的一个关键零日漏洞(编号CVE-2025-2783)已被发现在野利用,这是一次被称为”Operation ForumTroll”的针对性网络间谍行动的一部分。
根据卡巴斯基的最新研究,这些攻击与被称为Mem3nt0 mori(亦称作ForumTroll APT)的黑客组织有关,并且似乎涉及意大利监控软件开发商Memento Labs所打造的工具。
复杂攻击链解析
攻击始于2025年3月,受害者会收到高度个性化的钓鱼邮件,邀请他们参加普里马科夫读书论坛活动。点击这些存在时间极短的恶意链接将直接导致设备感染,无需受害者进行任何额外操作。此次攻击主要针对俄罗斯和白俄罗斯的各类组织,包括大学、研究中心、金融机构及政府机构。
卡巴斯基的分析显示,攻击者部署了一个沙箱逃逸漏洞利用程序,成功攻破了Chrome及其他基于Chromium内核的浏览器。该漏洞源于Windows操作系统在处理”伪句柄”时存在的逻辑缺陷,使得攻击者能够在Chrome浏览器进程中执行任意代码。
谷歌已在Chrome 134.0.6998.177/.178版本中紧急修复了此问题。火狐浏览器开发商后来也在其产品中发现了一个相关问题,并将其标识为CVE-2025-2857予以解决。
与Memento Labs关联的间谍工具
调查人员将”Operation ForumTroll”中使用的恶意工具包追溯至2022年由Mem3nt0 mori发起的攻击活动。这些攻击曾部署一款名为LeetAgent的间谍软件,其功能包括:
远程执行Shellcode和命令
运行后台键盘记录程序
窃取.docx、.xlsx和.pdf等扩展名的文件
进一步的分析还发现了对一款更先进的监控软件平台”Dante”的使用证据。这是Memento Labs(前身为Hacking Team)开发的一款商业产品。Dante恶意软件由Hacking Team早期的远程控制系统套件演变而来,具备全面的反分析技术和加密通信功能。
事件影响与行业响应
卡巴斯基研究人员得出结论,Mem3nt0 mori在ForumTroll攻击活动中利用了基于Dante的组件,这标志着首次在野观察到这款商业监控软件的实际使用。
研究团队表示:”这个漏洞利用确实让我们感到困惑,因为它允许攻击者在未执行任何明显恶意或被禁止操作的情况下,绕过谷歌Chrome的沙箱保护。这都源于Windows操作系统中一个晦涩特性所导致的强大逻辑漏洞。”
此事件凸显了与国家行为体结盟的黑客组织及商业监控软件供应商所带来的持续风险。卡巴斯基敦促安全研究人员检查其他软件及Windows服务,以寻找类似的伪句柄漏洞。
尽管Chrome的新补丁已封堵此漏洞,但该案例再次表明间谍行为体与全球监控软件市场之间存在持续的重叠——这也提醒我们,商业监控工具正在针对性网络行动中不断获得新的生命力。
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
