Operation ForumTroll: APT-атака с уязвимостью нулевого дня

Наши технологии для противодействия эксплойтам выявили волну атак с применением ранее неизвестного вредоносного ПО. При тщательном анализе эксперты нашего Глобального центра исследования и анализа угроз (Kaspersky GReAT) пришли к выводу, что мы имеем дело с весьма технически сложной целевой атакой, что позволяет предположить авторство APT-группировки, спонсируемой государством. В атаке использовалась уязвимость нулевого дня в браузере Chrome, о которой мы незамедлительно сообщили в Google, и компания оперативно выпустила закрывающий ее патч.

В чем суть APT-атаки Operation ForumTroll?

Атака начинается с фишингового приглашения на научный форум «Примаковские Чтения». В теле письма содержатся ссылки якобы на программу мероприятия и анкету для участников. На самом деле обе ссылки ведут на сайт злоумышленников и если получатель пользуется браузером Google Chrome (или каким-либо другим браузером на движке Chromium), то простой переход по ним приводит к заражению компьютера под управлением Windows. Никаких дополнительных действий от жертвы не требуется.

Дальше в дело вступает эксплойт для уязвимости CVE-2025-2783, который позволяет обмануть механизмы защиты браузера Google Chrome. О технических деталях говорить пока рано, однако суть уязвимости сводится к логической ошибке на стыке браузера и операционной системы, которая позволяет обойти песочницу браузера.

Более подробное описание атаки вместе с индикаторами компрометации можно найти на нашем блоге Securelist. После того, как большая часть пользователей браузера установит свежевыпущенный патч, наши исследователи обещают опубликовать там же детальный технический разбор уязвимости.

На кого нацелена APT-атака Operation ForumTroll

Фальшивые приглашения на форум содержали персонализированные ссылки и рассылались представителям прессы, сотрудникам российских образовательных учреждений и государственных организаций. По мнению наших экспертов GReAT целью злоумышленников был шпионаж.

Как оставаться в безопасности

На момент написания этого поста атака была уже не активна — фишинговая ссылка перенаправляла пользователей на официальный сайт форума. Однако следует помнить, что злоумышленники в любой момент могут активировать механизм раздачи эксплойта и запустить вторую волну атаки.

Благодаря исследованиям наших экспертов, 25 марта разработчики Google Chrome оперативно закрыли уязвимость, так что мы рекомендуем убедиться, что используемый в вашей организации браузер обновлен как минимум до версии 134.0.6998.177/.178.

Кроме того, мы рекомендуем использовать на всех компьютерах, имеющих выход в Сеть, надежные защитные решения, оснащенные современными технологиями для выявления и предотвращения эксплойтов. Наши продукты успешно детектируют все эксплойты и другое вредоносное ПО, использованное в данной атаке.