СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.10.2025
#Dev#ИБ#ИИ#Инфра

«Хакерская команда»: CVE-2025-2783, LeetAgent и перехват COM

В марте 2025 года компания «Касперский» зафиксировала новую волну целевых атак, приписываемых группе, идентифицированной как «Хакерская команда». Кампания примечательна сочетанием персонализированных spear phishing-рассылок, сложной цепочки загрузки вредоносного ПО и использованием целевого эксплойта для Google Chrome — CVE-2025-2783, позволяющего выход из песочницы (sandbox escape) с последующим закреплением в системе через перехват COM-модели компонентов.

По данным «Касперский», атаки начинались с персонализированных писем со вредоносными ссылками и приводили к заражению пользователей, которые открывали сайты злоумышленников в Google Chrome или других браузерах на базе Chromium.

Как работала кампания — по шагам

  • Spear phishing: жертве отправляли персонализированное письмо со ссылкой на вредоносный сайт.
  • Переход на сайт: при посещении сайт проверял окружение жертвы, в частности через WebGPU API.
  • Эксплойт: при подходящих условиях запускался потенциальный эксплойт — соответствующий CVE-2025-2783 — для удалённого выполнения кода (RCE) и выхода из sandbox в Chrome.
  • Валидатор и обмен ключами: на этапе инициализации использовался валидатор, который собирал ID заражения, результаты проверки WebGPU API и свежесгенерированный открытый ключ; обмен с сервером C2 происходил через ECDH (Elliptic Curve Diffie-Hellman).
  • Дешифровка полезной нагрузки: сервер отвечал ключом AES-GCM, с помощью которого расшифровывалась следующая стадия полезной нагрузки, маскированная под доброкачественные запросы к веб-ресурсам.
  • Закрепление: после выхода из песочницы вредоносное ПО закреплялось через перехват COM (COM hijacking) путём манипуляции записями реестра, что позволяло запускать вредоносную нагрузку при вызове легитимных COM-компонентов.

Технические детали, вызывающие повышенное беспокойство

Особую тревогу вызвал эксплойт для Chrome (CVE-2025-2783), который обеспечивал sandbox escape, используя логическую уязвимость в Windows — это позволяло обойти встроенные механизмы изоляции браузера без очевидного проявления. Эксплойт был встроен в цепочку, где передача ключей через ECDH и последующая расшифровка AES-GCM обеспечивали конфиденциальность и устойчивость коммуникации между заражённой машиной и C2.

LeetAgent: поведение и средства управления

Шпионское ПО, обнаруженное в кампании, получило название «LeetAgent». Его характерные черты:

  • Команды, представленные в leetspeak — редкое явление для сложных APT-образцов.
  • Соединение с серверами C2 по HTTPS.
  • Исполнение команд, кодируемых как числовые идентификаторы — строгая и методичная структура управления и контроля.

Атрибуция и аналитические выводы

Атрибуция принадлежности к «Хакерской команде» произведена путем корреляции тактик, техник и процедур (TTP), а также сходств в коде. Ключевые факторы, усиливающие уверенность аналитиков:

  • Наличие в коде ссылок на «Dante» и другие идентификаторы.
  • Схожесть с известными RCS-образцами (Remote Control System) и эволюция дизайна вредоносного ПО относительно предыдущих образцов группы.
  • Совпадение используемых механизмов доставки, закрепления и C2‑коммуникаций с ранее задокументированными операциями.

Аналитики подчёркивают, что атрибуция всегда содержит степень неопределённости и требует объединения множества показателей для формирования надёжного вывода.

Индикаторы компрометации и ключевые сигнатуры

  • Строки и хэши, содержащие ссылку на «Dante» (по данным аналитики).
  • Необычные обращения к WebGPU API и последующие сетевые запросы на неизвестные домены.
  • Записи реестра, модифицированные в контексте COM-компонентов (подозрительные CLSID/ProgID замены).
  • HTTPS-трафик к C2 с особенностями обмена ключами (ECDH) и пакетами, содержащими AES-GCM-зашифрованные данные.

Рекомендации для организаций и пользователей

Исходя из характера атаки, эксперты рекомендуют следующие меры по уменьшению риска и обнаружению компрометации:

  • Для пользователей: избегать переходов по ссылкам из непроверенных писем; проверять подлинность отправителя; временно ограничить использование неофициальных расширений и функций браузера.
  • Для администраторов: подготовить мониторинг аномального использования WebGPU API и подозрительных HTTPS-соединений на уровне периметра; сопоставлять сетевой трафик с известными IOC.
  • EDR/AV: настроить правила для обнаружения манипуляций реестра, связанных с COM/CLSID, и подозрительных цепочек процессов после запуска браузера.
  • Патч-менеджмент: своевременно применять обновления для Google Chrome/Chromium и Windows; при появлении исправления для CVE-2025-2783 — внедрять его в первую очередь.
  • Инцидент-реагирование: при обнаружении признаков компрометации изолировать систему, собрать артефакты (реестр, дампы памяти, сетевые логи), провести форензик-анализ.

Вывод

Зафиксированная в марте 2025 года кампания демонстрирует высокий уровень подготовки злоумышленников: сочетание целевого spear phishing, использования уязвимости нулевого дня для обхода песочницы браузера и надежных криптографических схем для обмена и защиты полезной нагрузки. Использование COM hijacking для устойчивого запуска вредоносного ПО и необычные признаки в виде leetspeak-команд в «LeetAgent» указывают на эволюцию инструментов группы и необходимость комплексного подхода к защите: технологии, процессы и обучение пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: