Team46 APT组织积极利用 Chrome 0day漏洞（CVE-2025-2783）针对俄罗斯目标

Google Chrome 中新发现的一个0day漏洞（编号为CVE-2025-2783）正在被APT黑客组织积极利用，用于复杂的网络间谍攻击。

安全研究人员发现利用此漏洞的针对性攻击激增，其归属指向高级持续性威胁 (APT) 组织 Team46（也称为 TaxOff），黑客利用该漏洞只须一次点击。

此次攻击活动的第一个迹象出现在 2025 年 3 月，当时 Positive Technologies 专家安全中心 (PT ESC) 的威胁情报部门发现针对俄罗斯组织的网络钓鱼行动。

攻击者会发送电子邮件，伪装成邀请参加一些备受瞩目的活动，例如“普里马科夫读书会”论坛。毫无戒心的收件人点击邮件中嵌入的链接后，会被重定向到托管漏洞利用的恶意网站。

一旦受害者访问该网站，CVE-2025-2783 漏洞就会被触发，从而导致Chrome沙盒逃逸，并允许 Trinper 后门恶意软件无缝安装。此攻击链无需进一步的用户交互，因此极其危险。

进一步分析显示，类似的网络钓鱼活动至少从 2024 年 10 月就开始了，使用国际会议的诱饵电子邮件。

攻击者表现出高度的复杂性，使用多层加载器、自定义加密和先进的规避技术来确保持久性并避免被发现。

CVE-2025-2783：技术细节

CVE-2025-2783 是Windows系统上 Google Chrome 浏览器 Mojo 组件中的一个高危漏洞。Mojo 是一个用于进程间通信 (IPC) 的运行时库。

该缺陷是由于在未指定的情况下提供了不正确的句柄而产生的，这使得远程攻击者可以通过恶意文件或网站实现 Chrome 沙盒逃逸。

此漏洞尤其危险，因为它使攻击者能够绕过 Chrome 的核心安全机制之一，从而可能导致在受害者的机器上执行任意代码。

谷歌迅速对卡巴斯基和其他研究人员的报告做出回应，为 Windows 用户发布了针对 Chrome 版本 134.0.6998.177/.178 中的漏洞补丁。

美国网络安全和基础设施安全局（CISA）已将 CVE-2025-2783 添加到其已知被利用的漏洞目录中，并敦促联邦机构立即更新。

安全专家建议所有用户和组织确保 Chrome 更新到最新版本并启用自动更新。

CVE-2025-2783 的利用凸显了 APT 组织利用浏览器0day漏洞所构成的持续威胁。

Team46 /TaxOff活动证明了网络钓鱼、高级恶意软件传送以及未修补系统的快速利用的有效性。

技术报告：

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/team46-and-taxoff-two-sides-of-the-same-coin

https://securelist.com/operation-forumtroll/115989/

新闻链接：

https://gbhackers.com/hackers-exploiting-chrome-zero%E2%80%91day-vulnerability/