Chromeの新たなゼロデイ、国家の支援受けたスパイキャンペーンで悪用される：CVE-2025-2783

Chromeの新たなゼロデイ、国家の支援受けたスパイキャンペーンで悪用される：CVE-2025-2783

Securityonline[.]info – March 25, 2025

これまで知られていなかったGoogle Chromeのゼロデイエクスプロイトを利用した高度なサイバースパイキャンペーン「Operation ForumTroll」について、カスペルスキーの研究者らが報告。このエクスプロイトは、Windows上のMojoにおいて特定の状況下で不適切なハンドルが提供される脆弱性（CVE-2025-2783）を利用したものだという。

Operation ForumTrollキャンペーンの攻撃はまず、スピアフィッシングメールによって開始。このメールは、国際関係・世界経済等に関するロシアの国際サミット「Primakov Readings」への招待メールに偽装されており、メール内には正式な招待状や参加者リストなどへのリンクとされるものが含まれているという。カスペルスキーは、「すべてのケースにおいて、被害者がフィッシングメール内のリンクをクリックした直後に感染が起きた」と報告。つまり、リンクが開かれさえすればそれだけでマルウェアがシステムへ密かに侵入するため、攻撃者としては被害者に追加で何らかのアクションを実行させる必要がない状態だったという。

カスペルスキーの検知ツールは、2025年3月中旬にこの疑わしい挙動を検出。その後すぐにこれを隔離し、ゼロデイエクスプロイトの分析を行ったという。分析の結果、攻撃者はMojo IPCを操作することによってペイロードにChromeの強固なサンドボックス保護をバイパスさせていたことが判明した。研究者らは、明らかに有害なアクションを何ひとつ行うことなく、まるでサンドボックスなど存在しなかったかのようにバイパスを成功させてしまうこの脆弱性に「頭を抱えた」と明かし、「（当該エクスプロイトは）これまで遭遇した中でも最も興味深いものの1つ」だと述べている。

Operation ForumTrollで配布されるマルウェアの設計やデプロイメントからは、キャンペーンの主な目的がインテリジェンス収集であることが伺えるという。またターゲットには、ロシアのメディアや教育機関、政府組織が含まれるとされる。カスペルスキーは、パーソナライズされた巧妙なフィッシングメールと有効期限の短い悪性リンクを用いた慎重な配布手法やマルウェアの性能が、ハイレベルなスパイオペレーションを指し示すものだと指摘。これを踏まえ、「国家支援型のAPTグループがこの攻撃の背後にいると、確信を持って結論付けることが可能になった」と述べた。

研究者らは脆弱性CVE-2025-2783を3月20日にGoogleへ報告。その後Googleは直ちに行動を起こし、たった5日でパッチのリリースに至っている。Googleの公式ブログにはStable、Extended Stableの両チャンネルでアップデートが展開されていることに関する通知とともに、「GoogleはCVE-2025-2783のエクスプロイトが出回っているという報告を認識している」との記載がある。

カスペルスキーは今後、このエクスプロイトチェーンおよびマルウェアコンポーネントについての詳細な分析結果を公表予定。記事の公開は、ユーザーの大部分において修正版Chromeのインストールが完了した後になるとのこと。

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性