2025年3月25日,卡巴斯基实验室披露一起针对俄罗斯关键机构的APT攻击行动(代号"ForumTroll"),攻击者利用Google Chrome浏览器零日漏洞链实现沙盒逃逸与远程代码执行。此次攻击通过伪装成俄罗斯科学论坛"Primakov Readings"的钓鱼邮件传播,恶意链接利用CVE-2025-2783漏洞突破Chrome沙盒防护,结合另一未公开漏洞(尚未捕获)实现全链攻击。
据卡巴博文披露,他们的漏洞检测和保护技术成功识别了用于逃离Google Chrome沙盒的零日漏洞。快速分析了漏洞代码,对其逻辑进行了逆向工程,并确认它基于影响最新版本的 Google Chrome 的零日漏洞。然后卡巴将漏洞报告给了Google安全团队。我们的详细报告使开发人员能够快速解决问题,2025年3月25日,Google发布了修复漏洞的更新,并感谢卡巴团队发现了这次攻击。
此次攻击链的精密设计体现了APT组织的高度专业性,攻击者通过多阶段漏洞利用实现“无感入侵”。具体流程包括:
钓鱼诱导:伪装成俄罗斯科学论坛“Primakov Readings”的钓鱼邮件定向投递至媒体、教育及政府机构,邮件内含短生命周期、个性化生成的恶意链接。
沙盒逃逸:用户点击链接后,Chrome浏览器自动触发CVE-2025-2783漏洞,绕过沙盒隔离机制。卡巴斯基分析指出,该漏洞源于Chrome沙盒与Windows内核交互的逻辑缺陷,攻击者无需用户交互即可静默执行代码。
权限升级:结合另一未捕获的漏洞(推测为内核级),攻击者实现系统级控制并部署定制化间谍软件,可持续窃取敏感数据与系统权限。
ForumTroll行动对目标机构构成多重威胁,其技术特征与攻击意图凸显国家级攻击的隐蔽性与破坏性:
定向渗透风险:恶意链接存活期短且高度定制化,传统安全设备难以检测,俄罗斯关键机构面临持续性数据泄露威胁。
供应链连锁反应:论坛“Primakov Readings”作为学术交流平台,其信誉被滥用可能导致更多关联组织成为二次攻击目标。
地缘政治博弈:攻击时机与目标选择暗示潜在情报战背景,泄露数据可能被用于外交施压或军事策略调整。
鉴于攻击的高度定向性与漏洞利用的复杂性,卡巴斯基建议受影响机构采取以下紧急措施:
优先级补丁部署:立即将Chrome浏览器升级至134.0.6998.177及以上版本,阻断CVE-2025-2783漏洞利用路径。
邮件安全强化:启用AI驱动的钓鱼检测引擎(如卡巴斯基UDS:DangerousObject.Multi.Generic),对含“primakovreadings[.]info”域名的邮件实施自动拦截。
零信任架构落地:限制浏览器进程权限,禁止执行未签名脚本,并对高价值终端实施动态行为监控。
威胁狩猎联动:结合EDR工具回溯近30天内访问恶意域名的终端,提取攻击指纹并同步至行业威胁情报平台。
卡巴斯基强调,将在多数用户完成漏洞修复后公开技术细节,并持续追踪攻击者基础设施。
1、https://securelist.com/operation-forumtroll/115989/
2、https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html
原文始发于微信公众号(网空闲话plus):ForumTroll间谍行动:利用Chrome零日漏洞链发动的最新国家级APT攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3885634.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论