ForumTroll行动：利用谷歌浏览器零日漏洞发起APT攻击

2025年3月中旬，卡巴斯基技术检测到一波由此前未知且高度复杂的恶意软件引发的感染。在所有案例中，受害者点击钓鱼邮件中的链接后，会立即感染，且攻击者的网站是通过谷歌浏览器打开的，无需进一步操作就会被感染。

所有恶意链接都是个性化的，且存在时间很短。不过，卡巴斯基的漏洞利用检测和保护技术成功识别了用于突破谷歌浏览器沙盒的零日漏洞利用。我们迅速分析了漏洞利用代码，对其逻辑进行逆向工程，并确认它是基于一个影响谷歌浏览器最新版本的零日漏洞。随后，我们将该漏洞报告给了谷歌安全团队。我们的详细报告使开发人员能够迅速解决问题，2025年3月25日，谷歌发布了修复该漏洞的更新，并感谢我们发现了这一攻击。

对发现 CVE - 2025 - 2783 的感谢（来自 Chrome 134.0.6998.177/178 版本的安全修复内容）

我们已经发现并报告了数十个在攻击中被积极利用的零日漏洞利用情况，但这个特殊的漏洞利用无疑是我们所遇到的最有趣的案例之一。CVE-2025-2783 这个漏洞着实让我们困惑不已，因为攻击者在没有进行任何明显恶意或被禁止行为的情况下，就能绕过谷歌浏览器的沙盒保护，就好像这种保护根本不存在一样。其原因是谷歌浏览器沙盒与 Windows 操作系统之间的一个逻辑错误。我们计划在大多数用户都安装了修复该漏洞的浏览器更新版本后，公布这个漏洞的技术细节。

我们的研究仍在进行中，但从攻击中所使用的复杂恶意软件的功能来判断，攻击者的目标似乎是进行间谍活动。这些恶意邮件包含了据称是来自一个名为“普里马科夫读书会”的科学与专家论坛组织者的邀请函，目标对象是俄罗斯的媒体机构、教育机构和政府组织。根据这些邮件的内容，我们将这次攻击行动命名为“论坛恶意攻击者行动”。

此次攻击行动中所使用的恶意邮件示例（由俄语翻译而来）

在撰写本文时，恶意链接已没有正在起作用的漏洞利用程序——它只是将访问者重定向到“Primakov Readings”的官方网站。不过，我们强烈建议不要点击任何潜在的恶意链接。

我们发现的这个漏洞利用程序是被设计成与另一个能实现远程代码执行的漏洞利用程序协同运行的。遗憾的是，我们无法获取第二个漏洞利用程序，因为在这种特定情况下，获取它需要等待新一波攻击的到来，而这会让用户面临被感染的风险。幸运的是，修补用于绕过沙盒的漏洞能有效地阻断整个攻击链条。

到目前为止所分析的所有攻击相关产物都表明攻击者手段极为高超，这让我们可以笃定地得出结论：此次攻击背后是一个受国家支持的高级持续性威胁（APT）组织。

我们计划发布一份详细报告，其中包含有关该零日漏洞利用程序、复杂恶意软件以及攻击者攻击手法的技术细节。

卡巴斯基产品会以以下检测结果来识别此次攻击中所使用的漏洞利用程序和恶意软件：