На прошлой неделе в Таиланде прошла ежегодная конференция Security Analyst Summit, организуемая «Лабораторией Касперского». Один из главных докладов конференции был посвящен операции «Форумный тролль» — кибершпионской кампании, нацеленной на организации в России. Обнаружение данной угрозы помогло экспертам «Лаборатории Касперского» еще в марте этого года выявить уязвимость нулевого дня в браузере Google Chrome, о которой было сообщено еще весной. Дальнейшее исследование атаки помогло связать ее с деятельностью компании Memento Labs, ранее известной как Hacking Team.

Атака начиналась с рассылки правдоподобных сообщений с приглашением на мероприятие. Открытие ссылки в этом письме в итоге приводило жертв на подлинный веб-сайт, но в процессе они также направлялись на вредоносную страницу, откуда загружался вредоносный скрипт. Этот код задействовал уязвимость в браузере Chrome, которая позволяла полностью обойти «песочницу» — технологию ограничения доступа к системным ресурсам. Как выяснилось, причиной возникновения уязвимости стала особенность работы Windows.

Еще до загрузки эксплойта в браузере жертвы выполнялся небольшой скрипт-«валидатор», задачей которого было убедиться в том, что сайт открыт в реальном браузере, а не загружается, например, почтовым сервером для проверки ссылки на безопасность. Затем с командного сервера загружается и выполняется эксплойт. Для понимания особенностей уязвимости, позднее получившей идентификатор CVE-2025-2783, требуется общее представление о работе «песочницы» в браузере Google Chrome. Основной процесс браузера отвечает за работу пользовательского интерфейса и управление другими процессами. Веб-контент обрабатывается изолированными процессами визуализации, доступ которых к системным ресурсам ограничен. За взаимодействие между основным процессом Chrome и процессами визуализации отвечает фреймворк Mojo, в основе которого лежит библиотека ipcz.

Эксплойт «Форумного тролля» содержал копии Mojo и ipcz, статически скомпилированные из официальных источников. Копия ipcz использовалась для взаимодействия с API-функциями Windows, такими как GetCurrentThread и DuplicateHandle. Один из вариантов ответа на запрос к GetCurrentThread, являющийся так называемым псевдодескриптором, некорректно обрабатывался браузером. В результате после достаточно сложной последовательности действий, подробно описанной в исходной статье, вредоносный шелл-код выполнялся не в «песочнице», а в контексте основного процесса браузера Chrome.

В итоге создавались условия для выполнения произвольного кода. Примечательно, что родственная уязвимость была также обнаружена в браузере Firefox — хотя коммуникация между процессами там реализована иначе, ошибка в обработке псевдодескрипторов присутствовала и там. Специалисты «Лаборатории Касперского» отмечают, что псевдодескрипторы изначально были созданы для упрощения разработки и повышения производительности на старых компьютерах. Сейчас же они могут считаться исторической оптимизацией, которая в итоге была эксплуатирована во вредоносных целях. Более того, в публикации отмечено, что похожие уязвимости в будущем могут быть обнаружены и в других приложениях и системных службах Windows.

После взлома системы происходит закрепление в ней при помощи метода Component Object Model hijacking. Каждый класс COM в Windows имеет запись в реестре, которая сопоставляет идентификатор COM CLSID с расположением соответствующего DLL- или EXE-файла. Эти записи сохранены в ветке реестра HKEY_LOCAL_MACHINE, но аналогичные записи в разделе HKEY_CURRENT_USER имеют более высокий приоритет. Благодаря этому при попытке запуска корректного компонента COM выполняется вредоносный код.

Вредоносная DLL представляет собой загрузчик, который, в свою очередь, распаковывает и запускает основное шпионское ПО. Перед запуском загрузчик проверяет имя текущего процесса и загружает вредоносное ПО, только если обращение происходит от определенного набора процессов. Непосредственно шпионское ПО получило название LeetAgent, так как все команды в нем написаны на сленге leetspeak. Вредоносная программа подключается к одному из командных серверов, от которого получает ожидаемый набор команд и затем выполняет их: запуск процесса, получение списка задач, чтение и запись файлов, внедрение шелл-кода и так далее. В фоновом режиме LeetAgent также отслеживает нажатие клавиш, ищет и при необходимости похищает документы с расширениями .doc, .xls, .ppt, .rtf, .pdf, .docx, .xlsx, .pptx.

Отдельная большая работа была проведена экспертами «Лаборатории Касперского» для атрибуции вредоносного ПО. Активность LeetAgent была прослежена вплоть до 2022 года, в результате чего свежую атаку удалось связать с другими кампаниями, нацеленными на организации и частных лиц в России и Беларуси. В тех случаях заражение начиналось с рассылки электронных писем с вредоносными вложениями. Еще один кластер схожих атак использовал более сложное, чем LeetAgent, шпионское ПО, активность которого также была зафиксирована начиная с 2022 года. У этого кластера атак были общие черты с теми, что использовали LeetAgent, например — схожие пути к файлам и идентичный механизм закрепления. Более того, в одной из атак более сложный зловред также загружался при помощи того же LeetAgent. Этот более сложный шпионский модуль в итоге удалось ассоциировать с компанией Memento Labs, о которой стоит поговорить отдельно.

Memento Labs до 2019 года была известна под именем Hacking Team. Эта итальянская компания предоставляла госструктурам и правоохранительным органам программное обеспечение для слежки. Ее основной продукт назывался Remote Control System. В 2015 году инфраструктура Hacking Team была взломана, а большой массив данных, включая исходные коды, был опубликован в открытом доступе. Несмотря на это, а также на продажу компании и ребрендинг, решение Remote Control Systems разрабатывалось до 2022 года. Затем ему на смену пришел комплекс, известный как Dante. Компании подобного профиля стараются не афишировать свою деятельность, но само название Dante упоминалось в открытых источниках как разработка Memento Labs.

Строка DanteMarker была обнаружена в деобфусцированном коде второго, более сложного вредоносного модуля, упомянутого ранее. Это, естественно, не может служить единственным доказательством связи вредоносного кода с деятельностью определенной организации. Но были также найдены сходства между Dante и Remote Control System, например одинаковые методы сокрытия вредоносной деятельности, приемы, затрудняющие анализ ПО, и многое другое. Хотя в конкретной операции «Форумный тролль» модуль Dante не использовался, в других схожих атаках он присутствовал, что позволило связать свежую кампанию с конкретным коммерческим производителем ПО для слежки.

Что еще произошло

Компании Google вновь пришлось опровергать сообщения в СМИ о якобы произошедшем взломе миллионов учетных записей почты Gmail. Поводом для публикаций в СМИ стала неверная интерпретация сообщения Троя Ханта, разработчика сервиса Have I Been Pwned, о добавлении базы утечек, содержащей 183 миллиона уникальных адресов электронной почты.

База была скомпилирована исследователем из компании Synthient, а основой для нее стали сообщения из множества источников, где публиковался результат работы инфостилеров. Инфостилеры — класс вредоносного ПО, направленный на кражу приватной информации, преимущественно паролей доступа, но также, например, историй посещений веб-сайтов. 92% почтовых адресов ранее присутствовали в других утечках, базах инфостилеров и подобных источниках. Впрочем, 8% от такой базы — это все равно достаточно большая выборка из примерно 14 миллионов адресов, владельцы которых, возможно, еще не знают об утечке. По традиции Трой Хант выборочно проверяет актуальность присылаемых ему данных, обращаясь к пользователям, чьи адреса обнаружены в базе. Один пользователь подтвердил, что история посещения сайтов, ассоциированная с его почтой, соответствует реальности. Другой сообщил, что пароль от его почты Gmail в утечке соответствует актуальному, недавно смененному паролю. Базы паролей, собранные различным образом, включая работу вредоносного ПО, затем используются для кражи учетных записей, в том числе на сервисе Gmail. Но, естественно, это никак не указывает на какую-то уязвимость самого сервиса.

Исследование компании Proofpoint фиксирует атаки на организации, задействованные в индустрии грузоперевозок. Атаки на брокеров и другие подобные компании нацелены на доступ к сервисам геолокации и управления, что открывает возможность для проведения целевых краж ценных грузов.

По данным компании Zscaler, в период с июня 2024 года по май 2025-го было зафиксировано более 40 миллионов скачиваний вредоносных программ из официального магазина приложений Google Play.

Еще 10 вредоносных пакетов были обнаружены в репозитории NPM специалистами компании Socket.

Начиная с октября 2026 года браузер Google Chrome переключится на использование защищенного соединения с веб-сайтами по умолчанию, а для ресурсов HTTP-only будет выводить предупреждение.