Μια ευπάθεια zero-day στο Google Chrome, η οποία αξιοποιήθηκε στο Operation ForumTroll νωρίτερα φέτος, παρέδωσε κακόβουλο λογισμικό συνδεδεμένο με τον Ιταλό προμηθευτή λογισμικού κατασκοπείας Memento Labs, που γεννήθηκε μετά την απόκτηση του διαβόητου Hacking Team από την IntheCyber Group.
Η επιχείρηση ForumTroll αποκαλύφθηκε από την Kaspersky τον Μάρτιο. Η εκστρατεία στόχευε ρωσικούς οργανισμούς – μέσα ενημέρωσης, πανεπιστήμια, ερευνητικά κέντρα, κυβερνητικούς οργανισμούς και χρηματοπιστωτικά ιδρύματα, με καλοδουλεμένες προσκλήσεις στο φόρουμ Primakov Readings που περιείχαν έναν κακόβουλο σύνδεσμο.
Η φόρτωση του συνδέσμου σε οποιοδήποτε πρόγραμμα περιήγησης ιστού που βασίζεται στο Chromium ήταν αρκετή για να μολύνει το σύστημα του υπολογιστή. Οι ερευνητές της Kaspersky είπαν ότι η παράδοση κακόβουλου λογισμικού έγινε με την εκμετάλλευση του CVE-2025-2783, ενός sandbox escape zero-day στο πρόγραμμα περιήγησης Chrome.
.jpg)
Πηγή: Kaspersky
Σε μια σημερινή αναφορά, η Kaspersky δημοσίευσε περισσότερες λεπτομέρειες σχετικά με το αλυσίδα επίθεσης χρησιμοποιήθηκε στο Operation ForumTroll, λέγοντας ότι το κακόβουλο λογισμικό που χρησιμοποιήθηκε στην καμπάνια χρονολογείται τουλάχιστον από το 2022 και οδήγησε στην ανακάλυψη άλλων επιθέσεων σε οργανισμούς στη Ρωσία και τη Λευκορωσία.
Αναλύοντας τις παλιές επιθέσεις, οι ερευνητές βρήκαν «ένα άγνωστο κομμάτι κακόβουλου λογισμικού που αναγνωρίσαμε ως εμπορικό spyware που ονομάζεται «Dante» και αναπτύχθηκε από την ιταλική εταιρεία Memento Labs».
Η Memento Labs είναι το όνομα μιας νέας εταιρείας που βασίζεται στην έρευνα και την τεχνογνωσία της πρώην «Ομάδας Hacking», ενός πωλητή spyware με έδρα το Μιλάνο, γνωστός στο παρελθόν για το Σύστημα Απομακρυσμένου Ελέγχου (RCS) που πωλούσε στις αρχές ως εργαλείο παρακολούθησης.
Το Hacking Team παραβιάστηκε το 2015 και το περιστατικό σφράγισε τη μοίρα της εταιρείας, καθώς αποκάλυψε πωλήσεις σε αυταρχικά καθεστώτα, πρόσβαση σε κατορθώματα μηδενικής ημέρας και αλληλεπίδραση με πελάτες κυβερνητικών πληροφοριών.
Το 2019, η εταιρεία εξαγοράστηκε από την InTheCyber Group, η οποία χρησιμοποίησε τα περιουσιακά στοιχεία της Hacking Team για τη δημιουργία της Memento Labs.
Τέσσερα χρόνια αργότερα, στο συνέδριο ISS World Middle East and Africa, η Memento Labs παρουσίασε το νέο spyware Dante, αν και οι λεπτομέρειες παρέμειναν ιδιωτικές.
LeetAgent και Dante
Οι επιθέσεις της λειτουργίας ForumTroll ξεκινούν με ένα ηλεκτρονικό “ψάρεμα” με έναν εξατομικευμένο, βραχύβιο σύνδεσμο προς τον κακόβουλο ιστότοπο, όπου ένα σενάριο επικύρωσης φιλτράρει τους επισκέπτες για να βεβαιωθεί ότι παραβιάζονται μόνο στόχοι ενδιαφέροντος.
Στο επόμενο βήμα, οι εισβολείς εκμεταλλεύτηκαν το CVE-2025-2783 για να επιτύχουν την εκτέλεση κώδικα κελύφους στη διαδικασία του προγράμματος περιήγησης του θύματος και να εγκαταστήσουν έναν μόνιμο φορτωτή για να εισάγουν ένα κακόβουλο DLL.
Το DLL αποκρυπτογραφεί το κύριο ωφέλιμο φορτίο που ονομάζεται LeetAgent, ένα αρθρωτό λογισμικό υποκλοπής spyware που υποστηρίζει την εκτέλεση εντολών, τις λειτουργίες αρχείων, την καταγραφή πληκτρολογίων και την κλοπή δεδομένων.
Οι ερευνητές της Kaspersky σημειώνουν ότι το LeetAgent είναι μοναδικό για τη χρήση του leetspeak στην υλοποίηση εντολών και πιστεύουν ότι μπορεί επίσης να είναι ένα εμπορικό εργαλείο spyware.
.jpg)
Πηγή: Kaspersky
Οι ερευνητές εντόπισαν τη χρήση του LeetAgent στις επιθέσεις του 2022 εναντίον στόχων στη Ρωσία και τη Λευκορωσία. Σε ορισμένες περιπτώσεις, το LeetAgent χρησιμοποιήθηκε για την εισαγωγή του Dante.
Λόγω των ομοιοτήτων κώδικα του Dante με το κακόβουλο λογισμικό RCS της Hacking Team, οι ερευνητές της Kaspersky έχουν μεγάλη εμπιστοσύνη στην απόδοση των εργαλείων στα Memento Labs.
Το Dante είναι ένα αρθρωτό λογισμικό κατασκοπείας που ανακτά στοιχεία από έναν διακομιστή εντολών και ελέγχου (C2). Εάν δεν ληφθεί επικοινωνία από τον διακομιστή του εισβολέα για έναν καθορισμένο αριθμό ημερών, το κακόβουλο λογισμικό “διαγράφει τον εαυτό του και όλα τα ίχνη της δραστηριότητάς του”.
Οι ερευνητές δεν μπόρεσαν να ανακτήσουν καμία ενότητα για ανάλυση, επομένως τα συγκεκριμένα χαρακτηριστικά και οι δυνατότητες του λογισμικού κατασκοπείας Dante παραμένουν μη τεκμηριωμένα.
Είναι σημαντικό να σημειωθεί ότι ενώ η Kaspersky απέδωσε το προηγμένο λογισμικό υποκλοπής spyware στα Memento Labs με υψηλή εμπιστοσύνη, ο συγγραφέας του Chrome sandbox-escape zero-day θα μπορούσε να είναι διαφορετική οντότητα.
Το Chrome διόρθωσε το CVE-2025-2783 στην έκδοση 134.0.6998.178, που κυκλοφόρησε στις 26 Μαρτίου. Η Mozilla αντιμετώπισε επίσης το πρόβλημα στον Firefox, που παρακολουθείται ως CVE-2025-2857, στην έκδοση 136.0.4 του προγράμματος περιήγησης.
Η BleepingComputer επικοινώνησε με την Memento Labs ζητώντας ένα σχόλιο σχετικά με τα ευρήματα της Kaspersky, αλλά δεν έλαβε απάντηση μέχρι τη δημοσίευση του χρόνου.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
