カスペルスキーは3月27日、同社のグローバル調査分析チーム(GReAT)のリサーチャーがGoogle Chromeブラウザのゼロデイ脆弱性を特定し、Googleに報告したことを発表した。その概要は以下のとおり。
この脆弱性は、サイバー攻撃者がChromeのサンドボックス保護システムを回避できる。同社が発見したエクスプロイトには、悪意のあるリンクをクリックするだけで攻撃が成立する、非常に高度な技術が用いられていた。リサーチャーはこの攻撃活動を「Operation ForumTroll」と名付けた。この脆弱性に対するセキュリティパッチは、2025年3月25日にGoogleからリリースされた。
2025年3月中旬、同社のソリューションは、あるマルウェア感染の高まりを検知。それは、フィッシングメール内の個別にカスタマイズされた悪意のあるリンクをクリックするだけで、システムが侵害されるというものだった。
GReATのリサーチャーが詳細を分析したところ、このエクスプロイトがGoogle Chromeの最新バージョンの未知の脆弱性を利用していることが判明し、速やかにGoogleのセキュリティチームに通知した。攻撃活動の目的は主にスパイ行為で、高度なAPT(持続的標的型)攻撃グループによる可能性が高いとみている。
攻撃者は、国際フォーラム「Primakov Readings」への招待を装ったフィッシングメールを送信していたことから、リサーチャーはこの攻撃活動を「Operation ForumTroll」と命名。標的となったのは、主にロシアのメディア、教育機関、政府機関だった。
悪意のあるリンクは検知を回避するために極めて短期間で無効化されるように設計されており、ほとんどの場合、エクスプロイトが削除されると「Primakov Readings」の正規のウェブサイトにリダイレクトされていた。
今回発見したChromeのゼロデイ脆弱性の悪用は攻撃チェーンの一部であり、少なくとも二つのエクスプロイトが使われていた。一つは、当攻撃の活動を開始するもので、まだ詳細が明らかになっていないリモートコード実行(RCE)のエクスプロイト。
もう一つは、同社が今回発見したChromeのサンドボックスを回避するエクスプロイト。このマルウェアを分析した結果、攻撃活動が主にスパイ行為を目的として設計されたことが示唆されており、高度なAPT攻撃グループが関与していると、カスペルスキーでは考えている。
関連リンク