Source: https://www.darkreading.com/vulnerabilities-threats/memento-spyware-chrome-zero-day-attacks
🛡 概要
GoogleのChromeウェブブラウザにおけるゼロデイ脆弱性CVE-2025-2783が、Memento Labsの商業スパイウェアを通じて悪用された。この脆弱性は、Kaspersky Labの研究者によって発見され、Googleに報告された。脆弱性は国家の脅威グループによって利用され、特にロシアとベラルーシの政府および民間セクターをターゲットにした「Operation ForumTroll」と呼ばれるキャンペーンで使用された。Memento Labsは、Hacking Teamの後継企業であり、2023年に新たなスパイウェア「Dante」を発表した。
🔍 技術詳細
CVE-2025-2783は、Chromeのサンドボックス保護を回避する巧妙なエクスプロイトで、Windows OSの特異な挙動によって引き起こされる論理脆弱性が根本原因である。Kasperskyの研究者ボリス・ラリンによると、Mementoは「擬似ハンドル」を利用してサンドボックス機能を無効化する方法を見つけた。擬似ハンドルは、特定のオブジェクトを表す特別な定数値であり、Windows API呼び出しにおいて実際のハンドルの代わりに返されることがある。これにより、権限のないユーザーが特権プロセスへの呼び出しに擬似ハンドルを提供できるようになる。ラリンは、この脆弱性が他のアプリケーションやWindowsサービスにも存在する可能性があると警告している。
⚠ 影響
CVE-2025-2783の悪用により、Memento Labsのスパイウェア「Dante」が関連する攻撃が発生した。Kasperskyは、Danteが「Operation ForumTroll」キャンペーンには使用されなかったが、同じ脅威グループに関連する他の攻撃にトレースされたことを報告している。Danteは、逆アセンブルを防ぐためにVMprotectというソフトウェアツールによって強く難読化されており、ほぼすべての文字列が暗号化されている。しかし、プロのマルウェア分析者にはこのような努力は通用しない。商業スパイウェアの検出と帰属には困難が伴い、Danteのスパイウェアは元の企業のフラッグシップ製品と「かなりの類似点」を共有していることが明らかになった。
🛠 対策
Chromeや他のChromiumベースのブラウザを使用しているユーザーは、常に最新のセキュリティパッチを適用することが重要である。GoogleはCVE-2025-2783に対するパッチを迅速に提供したが、ユーザーは自らの環境を守るために、信頼できるセキュリティソリューションを導入することが推奨される。また、擬似ハンドルの問題に対処するために、Windowsのすべての特権プロセスは擬似ハンドルが提供された場合にエラーを返すべきである。企業は、スパイウェアの脅威を軽減するために、従業員への教育やフィッシング攻撃に対する警戒を強化する必要がある。
