卡巴斯基日前披露一起尖端的网攻行动,受害者点击定向钓鱼邮件中的链接,该页面暗藏零日漏洞利用代码,可远程绕过Chrome浏览器的沙盒保护机制,结合另一个未知漏洞即可实现远程代码执行,控制受害者的设备;
根据该行动非常隐蔽和技艺高超的特征,卡巴斯基认为攻击者具有国家背景,参考此前披露的三角行动,这起事件也很可能是NSA的网络间谍活动。
安全内参4月1日消息,俄罗斯安全研究人员近日发现了一种复杂的新型恶意软件,该软件被用于针对国内媒体机构和教育机构的间谍活动。
此次攻击利用了谷歌Chrome浏览器中的一个零日漏洞,这一情况令网络安全公司卡巴斯基的研究人员感到震惊。他们指出,黑客在未执行任何明显的恶意或违规行为的情况下,成功绕过了Chrome的沙盒保护机制,“仿佛它根本不存在”。
研究人员在3月25日发布的分析报告中表示:“我们已经发现并报告了数十个在攻击中被积极利用的零日漏洞,但这个特定的漏洞无疑是我们遇到的最有趣的之一。”
点击链接即被控,隐蔽性极高
这场疑似间谍行动被卡巴斯基命名为“论坛巨魔行动”(Operation ForumTroll)。该公司在3月中旬发现了相关攻击。他们检测到一波网络钓鱼邮件,发信人伪装成俄罗斯知名科学和专家论坛的组织者。
邮件内嵌入了针对特定目标定制的恶意链接,且这些链接仅在短时间内有效,可能是为了增加调查人员的分析难度。据研究人员透露,在所有攻击案例中,受害者只需点击链接,访问黑客设下的网站(该网站会在谷歌Chrome中加载),设备即刻感染,无需任何额外操作。
鉴于此次攻击的复杂性及所使用的工具,卡巴斯基认为,这一行动极有可能由某个国家支持的黑客组织发起,但目前尚未将其归因于任何具体国家。
在攻击过程中,攻击者利用CVE-2025-2783漏洞,突破了Chrome的保护系统,该系统原本应该确保网页内容与计算机的其他部分隔离。卡巴斯基指出,漏洞的根本原因在于Chrome的安全机制在与Windows操作系统交互时存在“逻辑错误”,这使攻击者能够绕过关键的安全防护措施。
谷歌已证实该漏洞的存在,并于3月25日发布了安全更新以修复该问题。该公司承认该漏洞已被积极利用,但为了在全球补丁推送期间保护用户,暂未透露更多技术细节。
此外,卡巴斯基表示,该漏洞可能与另一个尚未被发现的漏洞结合使用,从而实现远程代码执行(RCE)。
目前,攻击者使用的恶意链接已不再携带可执行漏洞代码,而是会将用户重定向至合法的科学论坛网站。不过,网络安全专家警告称,应对可疑邮件保持警惕,因为攻击者可能会利用新的漏洞重新发动攻击。
卡巴斯基曾发现多起疑似NSA攻击事件
早在2024年8月,卡巴斯基就曾发现一种此前未见的间谍软件,该软件专门针对俄罗斯安卓用户。这一恶意软件被命名为LianSpy,并伪装成金融服务应用或其他系统应用,例如支付宝等数字支付软件。
卡巴斯基表示,他们在俄罗斯境内检测到10名LianSpy受害者,但拒绝透露具体受害者的身份信息。
此外,在去年6月,卡巴斯基还揭露了另一场间谍行动,代号为“三角行动”(Operation Triangulation)。该行动利用了苹果设备中的两个漏洞,并至少自2019年以来一直活跃,主要攻击手段是向目标设备发送带有恶意附件的iMessage。
俄罗斯政府曾指责美国策划了这场行动,称其攻击了“数千部苹果手机”,以此监视俄罗斯外交官。然而,苹果否认了这一指控,而卡巴斯基也未将“三角定位”行动归因于任何特定政府或已知黑客组织。
来源|“安全内参”公众号
编辑|音叶泽
审核|秦川原
原文始发于微信公众号(网络安全与人工智能研究中心):疑似NSA网攻行动曝光:神秘零日漏洞利用链 目标针对俄媒体科研机构
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论