Lỗ hổng Zero-Day trên Chrome bị khai thác để phát tán phần mềm gián điệp

[Starlink]

Theo những phát hiện mới từ Kaspersky, việc khai thác lỗ hổng bảo mật zero-day hiện đã được vá trong Google Chrome đã dẫn đến việc phát tán một công cụ liên quan đến hoạt động gián điệp từ nhà cung cấp dịch vụ và công nghệ thông tin Memento Labs của Ý.

Lỗ hổng được đề cập là CVE-2025-2783 (điểm CVSS: 8.3), một trường hợp thoát khỏi sandbox mà công ty đã tiết lộ vào tháng 3 năm 2025 là đã bị khai thác tích cực trong một chiến dịch có tên gọi là Chiến dịch ForumTroll nhắm vào các tổ chức ở Nga. Cụm lỗ hổng này cũng được Positive Technologies theo dõi với tên gọi TaxOff / Team 46 và   Đăng nhập để xem liên kết theo dõi với tên gọi Prosperous Werewolf. Nó được biết là đã hoạt động ít nhất từ tháng 2 năm 2024.

Làn sóng lây nhiễm bao gồm việc gửi email lừa đảo chứa các liên kết được cá nhân hóa, tồn tại trong thời gian ngắn, mời người nhận truy cập diễn đàn Primakov Readings. Chỉ cần nhấp vào các liên kết này thông qua Google Chrome hoặc trình duyệt web dựa trên Chromium là đủ để kích hoạt lỗ hổng CVE-2025-2783, cho phép kẻ tấn công vượt qua giới hạn của chương trình và cung cấp các công cụ do Memento Labs phát triển.

Có trụ sở chính tại Milan, Memento Labs (còn được gọi là mem3nt0) được thành lập vào tháng 4 năm 2019 sau khi InTheCyber Group và HackingTeam (hay còn gọi là Hacking Team) sáp nhập. Hacking Team có tiền sử bán các khả năng xâm nhập và giám sát tấn công cho chính phủ, cơ quan thực thi pháp luật và các tập đoàn, bao gồm cả việc tạo ra phần mềm gián điệp được thiết kế để theo dõi trình duyệt Tor.

Đáng chú ý nhất, nhà cung cấp phần mềm giám sát khét tiếng này đã bị tấn công vào tháng 7 năm 2015, dẫn đến rò rỉ hàng trăm gigabyte dữ liệu nội bộ, bao gồm các công cụ và lỗ hổng bảo mật. Trong số đó có bộ công cụ phát triển Giao diện Phần mềm Mở rộng (EFI) có tên VectorEDK, sau này trở thành nền tảng cho bộ công cụ khởi động UEFI có tên MosaicRegressor. Vào tháng 4 năm 2016, công ty tiếp tục gặp rắc rối sau khi cơ quan xuất khẩu của Ý thu hồi giấy phép bán hàng ra ngoài châu Âu.

Trong loạt tấn công mới nhất được nhà cung cấp an ninh mạng của Nga ghi nhận, mục tiêu nhắm vào các cơ quan truyền thông, trường đại học, trung tâm nghiên cứu, tổ chức chính phủ, tổ chức tài chính và các tổ chức khác ở Nga với mục tiêu chính là hoạt động gián điệp.

"Đây là một chiến dịch lừa đảo trực tuyến có chủ đích, chứ không phải một chiến dịch rộng khắp, bừa bãi", Boris Larin, nhà nghiên cứu bảo mật chính tại Nhóm Nghiên cứu và Phân tích Toàn cầu Kaspersky (GReAT), nói với The Hacker News. "Chúng tôi đã quan sát thấy nhiều vụ xâm nhập nhắm vào các tổ chức và cá nhân ở Nga và Belarus, với các chiêu trò nhắm vào các cơ quan truyền thông, trường đại học, trung tâm nghiên cứu, cơ quan chính phủ, tổ chức tài chính và các tổ chức khác ở Nga."

Đáng chú ý nhất là các cuộc tấn công này đã mở đường cho một phần mềm gián điệp chưa từng được ghi chép trước đây do Memento Labs phát triển có tên là LeetAgent, do sử dụng leetspeak cho các lệnh của nó.

Điểm khởi đầu là giai đoạn xác thực, là một tập lệnh nhỏ được trình duyệt thực thi để kiểm tra xem người truy cập vào trang web độc hại có phải là người dùng thực sự với trình duyệt web thực hay không, sau đó tận dụng CVE-2025-2783 để kích hoạt lệnh thoát khỏi hộp cát nhằm thực thi mã từ xa và thả trình tải chịu trách nhiệm khởi chạy LeetAgent.

Phần mềm độc hại có khả năng kết nối với máy chủ chỉ huy và điều khiển (C2) qua HTTPS và nhận các hướng dẫn cho phép nó thực hiện nhiều tác vụ khác nhau:

    0xC033A4D (LỆNH) – Chạy lệnh bằng cmd.exe
    0xECEC (EXEC) – Thực thi một tiến trình
    0x6E17A585 (GETTASKS) – Nhận danh sách các tác vụ mà tác nhân hiện đang thực hiện
    0x6177 (KILL) – Dừng tác vụ
    0xF17E09 (FILE \x09) – Ghi vào tệp
    0xF17ED0 (FILE \xD0) – Đọc tệp
    0x1213C7 (INJECT) – Tiêm mã shell
    0xC04F (CONF) – Đặt thông số giao tiếp
    0xD1E (DIE) – Thoát
    0xCD (CD) – Thay đổi thư mục làm việc hiện tại
    0x108 (CÔNG VIỆC) – Đặt tham số cho keylogger hoặc trình đánh cắp tệp để thu thập các tệp có phần mở rộng phù hợp *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx và *.pptx

Phần mềm độc hại được sử dụng trong các cuộc xâm nhập đã được truy tìm từ năm 2022, trong đó tác nhân đe dọa cũng có liên quan đến một loạt hoạt động mạng độc hại rộng hơn nhằm vào các tổ chức và cá nhân ở Nga và Belarus bằng cách sử dụng email lừa đảo có chứa tệp đính kèm độc hại làm phương tiện phát tán.

"Thành thạo tiếng Nga và am hiểu các đặc điểm địa phương là những đặc điểm nổi bật của nhóm ForumTroll APT, những đặc điểm mà chúng tôi cũng đã quan sát thấy trong các chiến dịch khác của nhóm này", Larin nói. "Tuy nhiên, sai sót trong một số trường hợp khác cho thấy những kẻ tấn công không phải là người bản xứ nói tiếng Nga."

Điều đáng chú ý là ở giai đoạn này, Positive Technologies, trong một báo cáo được công bố vào tháng 6 năm 2025, cũng đã tiết lộ một nhóm hoạt động tương tự liên quan đến việc khai thác lỗ hổng CVE-2025-2783 bởi một tác nhân đe dọa mà họ theo dõi là TaxOff để triển khai một cửa hậu có tên là Trinper. Larin nói với The Hacker News rằng hai nhóm tấn công này có liên quan đến nhau.

Larin giải thích: "Trong một số vụ việc, backdoor LeetAgent được sử dụng trong Chiến dịch ForumTroll đã trực tiếp khởi chạy phần mềm gián điệp Dante tinh vi hơn".

"Ngoài việc chuyển giao đó, chúng tôi còn phát hiện ra sự trùng lặp trong các kỹ thuật: khả năng tấn công chiếm quyền điều khiển COM giống hệt nhau, đường dẫn hệ thống tệp tương tự và dữ liệu ẩn trong các tệp phông chữ. Chúng tôi cũng tìm thấy mã chung giữa trình khai thác/trình tải và Dante. Tổng hợp lại, những điểm này cho thấy cùng một tác nhân/bộ công cụ đứng sau cả hai cụm."

Dante, xuất hiện vào năm 2022 để thay thế cho một phần mềm gián điệp khác được gọi là Hệ thống Điều khiển Từ xa ( RCS ), đi kèm với một loạt các biện pháp bảo vệ chống lại việc phân tích. Nó làm tối nghĩa luồng điều khiển, ẩn các hàm đã nhập, thêm các kiểm tra chống gỡ lỗi và mã hóa gần như mọi chuỗi trong mã nguồn. Nó cũng truy vấn Nhật ký Sự kiện Windows để tìm các sự kiện có thể chỉ ra việc sử dụng các công cụ phân tích phần mềm độc hại hoặc máy ảo để hoạt động ngầm.

Sau khi vượt qua tất cả các bước kiểm tra, phần mềm gián điệp sẽ tiến hành khởi chạy mô-đun điều phối được thiết kế để giao tiếp với máy chủ C2 qua HTTPS, tải các thành phần khác từ hệ thống tệp hoặc bộ nhớ và tự xóa nếu không nhận được lệnh trong một số ngày nhất định được chỉ định trong cấu hình và xóa dấu vết của mọi hoạt động.

Hiện tại vẫn chưa có thông tin về bản chất của các mô-đun bổ sung được phần mềm gián điệp khởi chạy. Mặc dù chưa phát hiện kẻ tấn công đứng sau Chiến dịch ForumTroll sử dụng Dante trong chiến dịch khai thác lỗ hổng bảo mật Chrome, Larin cho biết có bằng chứng cho thấy Dante được sử dụng rộng rãi hơn trong các cuộc tấn công khác. Tuy nhiên, ông cũng chỉ ra rằng còn quá sớm để đưa ra bất kỳ kết luận chắc chắn nào về phạm vi hoặc nguồn gốc.

Giám đốc điều hành của Memento Labs, Paolo Lezzi, đã xác nhận với TechCrunch rằng phần mềm gián điệp mà Kaspersky phát hiện thực sự thuộc về Memento và đổ lỗi cho một trong những khách hàng chính phủ của công ty đã tiết lộ phiên bản lỗi thời của Dante trên Windows. Hiện chưa rõ khách hàng nào của Memento chịu trách nhiệm cho chiến dịch này, nhưng Memento cho biết họ có chưa đến 100 khách hàng.

Nhà cung cấp phần mềm gián điệp của Ý cũng lưu ý rằng hiện tại họ chỉ phát triển các công cụ cho nền tảng di động và họ đã yêu cầu khách hàng ngừng sử dụng phần mềm độc hại Windows.

Những phát hiện này một lần nữa chứng minh các công cụ bề ngoài được tiếp thị cho các cơ quan thực thi pháp luật và tình báo đang bị lạm dụng cho mục đích xấu. Chúng cũng làm nổi bật sự phổ biến liên tục của công nghệ giám sát.