卡巴斯基发现主动攻击中使用的复杂 Chrome 零日漏洞
2025年3月中旬,卡巴斯基技术团队监测到一波新型恶意软件感染事件,该恶意软件此前未被发现且技术复杂度极高。在所有已发现的感染案例中,受害者点击钓鱼邮件中的链接后会立即中招——攻击者搭建的恶意网站会通过谷歌Chrome浏览器自动打开,整个感染过程无需受害者执行其他操作。
所有恶意链接均经过个性化定制,且有效期极短。不过,卡巴斯基的漏洞利用检测与防护技术成功识别出了用于突破谷歌Chrome沙箱防护的零日漏洞利用工具。我们迅速对该漏洞利用代码展开分析,通过逆向工程解析其运行逻辑,最终确认该工具依托于一个影响Chrome最新版本的零日漏洞。随后,我们将该漏洞情况通报给谷歌安全团队。凭借我们提供的详细报告,谷歌开发人员得以快速定位并解决问题。2025年3月25日,谷歌发布安全更新修复了该漏洞,并就我们发现此次攻击事件表示感谢。
所有恶意链接均经过个性化定制,且有效期极短。不过,卡巴斯基的漏洞利用检测与防护技术成功识别出了用于突破谷歌Chrome沙箱防护的零日漏洞利用工具。我们迅速对该漏洞利用代码展开分析,通过逆向工程解析其运行逻辑,最终确认该工具依托于一个影响Chrome最新版本的零日漏洞。随后,我们将该漏洞情况通报给谷歌安全团队。凭借我们提供的详细报告,谷歌开发人员得以快速定位并解决问题。2025年3月25日,谷歌发布安全更新修复了该漏洞,并就我们发现此次攻击事件表示感谢。
我们已发现并通报了数十个被攻击者实际利用的零日漏洞利用工具,而此次发现的这一款无疑是我们遇到过的最值得关注的案例之一。编号为CVE-2025-2783的该漏洞曾让我们颇费周折——攻击者无需执行任何明显恶意或违规操作,就能轻松绕过谷歌Chrome的沙箱防护,仿佛这层防护根本不存在。其根源在于谷歌Chrome沙箱与Windows操作系统交互时存在一处逻辑错误。我们计划在大多数用户完成浏览器安全更新安装后,公开发布该漏洞的技术细节。
目前相关研究仍在进行中,但从攻击中所使用的高复杂度恶意软件的功能来看,攻击者的目标似乎是开展间谍活动。这些恶意邮件中包含所谓“普里马科夫论坛”(一项科学与专业论坛)主办方发出的邀请,攻击目标直指俄罗斯的媒体机构、教育院校及政府组织。根据邮件内容特征,我们将此次攻击行动命名为“论坛 Troll 行动”(Operation ForumTroll)。
Example of a malicious email used in this campaign (translated from Russian)
截至本文撰写时,该恶意链接已无活跃的漏洞利用程序——它仅会将访问者重定向至“普里马科夫论坛”的官方网站。但我们仍强烈建议,切勿点击任何具有潜在风险的恶意链接。
目前已分析的所有攻击相关痕迹均表明,攻击者的技术水平极高。据此我们可明确判定,此次攻击背后是一个由国家支持的高级持续性威胁(APT)组织。
- Exploit.Win32.Generic(Windows 32位通用漏洞利用程序)
- Trojan.Win64.Agent(Windows 64位代理木马)
- Trojan.Win64.Convagent.gen(Windows 64位Convagent家族通用木马)
- PDM:Exploit.Win32.Generic(PDM检测:Windows 32位通用漏洞利用程序)
- PDM:Trojan.Win32.Generic(PDM检测:Windows 32位通用木马)
- UDS:DangerousObject.Multi.Generic(UDS检测:多类型危险对象)