Атака через форум — неизвестная хакерская кампания затронула российские организации
Изображение: recraft
В марте 2025 года в России была зафиксирована новая волна целевых атак, нацеленных на сотрудников средств массовой информации и научных учреждений. Неизвестная ранее вредоносная кампания, получившая название «Форумный тролль», была обнаружена специалистами из глобального исследовательского центра Kaspersky GReAT, входящего в структуру «Лаборатории Касперского».
Угроза оказалась особенно опасной из-за применения эксплойта, использующего уязвимость нулевого дня в браузере Chrome. Об этом сообщили в команде Kaspersky GReAT, добавив, что информация о бреши была оперативно передана в подразделение безопасности компании Google. В результате 25 марта было выпущено обновление, закрывающее уязвимость CVE-2025-2783.
Атака была замаскирована под приглашение на престижное мероприятие. Получатели писем — сотрудники российских организаций — получали сообщение, в котором предлагалось принять участие в экспертном форуме «Примаковские чтения». Сообщение выглядело убедительно, в нём использовались персонализированные обращения и ссылка, ведущая на вредоносный ресурс. При переходе по ссылке с браузера Chrome или другого приложения на основе движка Chromium происходило заражение устройства. Пользователю не нужно было совершать дополнительных действий — заражение происходило автоматически.
Сценарий атаки удалось выявить благодаря защитным механизмам, встроенным в решения «Лаборатории Касперского». Как пояснили специалисты Kaspersky GReAT, в рамках операции применялся ранее неизвестный эксплойт, позволявший обойти изолированную среду браузера — так называемую «песочницу».
Уязвимость, обозначенная как CVE-2025-2783, позволяла злоумышленникам выйти за пределы браузера и получить контроль над операционной системой. Это стало возможным из-за логической ошибки во взаимодействии Chrome и Windows, что открывало путь для скрытого проникновения вредоносного кода.
Эксперт Kaspersky GReAT Борис Ларин отметил, что использованный эксплойт был одним из наиболее технологически сложных за всю историю наблюдений команды. По его словам, анализ оставленных артефактов показал высокий уровень подготовки злоумышленников. В ходе атаки использовалось продвинутое вредоносное программное обеспечение, основная задача которого заключалась в шпионской деятельности. Борис Ларин подчеркнул, что всё указывает на причастность к атаке APT-группы, действующей при поддержке государства.
Также он сообщил, что по завершении обновления браузера у большинства пользователей специалисты опубликуют технический отчёт с детальным описанием механизма атаки, особенностями эксплойта и применёнными методами воздействия.
