Операция «Форумный тролль»: APT-атака с цепочкой эксплойтов нулевого дня для Google Chrome
изображение: recraft
В марте 2025 года специалисты «Лаборатории Касперского» зафиксировали серию инцидентов, связанных с новым, весьма запутанным вредоносным кодом. Вирус попадал на устройство сразу после того, как пользователь открывал ссылку из электронного письма в браузере Google Chrome. При этом от жертвы не требовалось никаких дополнительных действий — достаточно было просто кликнуть.
Каждая вредоносная ссылка имела индивидуальные параметры и быстро становилась недействительной, но автоматизированные системы анализа угроз от «Лаборатории Касперского» сумели распознать активное использование ранее неизвестной уязвимости, дающей возможность покинуть песочницу Chrome. Код вредоносной программы был немедленно изучен, его структура — восстановлена, а особенности эксплуатации — разобраны. Выяснилось, что в основе лежит уязвимость, не закрытая даже в самой актуальной сборке браузера. Исходя из этого, команда специалистов незамедлительно передала сведения службе безопасности Google.
Переданный отчёт стал основанием для срочного выпуска обновления: 25 марта 2025 года Google распространила патч, устраняющий уязвимость, и выразила признательность за помощь в её обнаружении.
Специалисты ранее уже находили немало подобных уязвимостей, о чём своевременно сообщали разработчикам программного обеспечения. Но эта атака выделяется на фоне прочих. Вариант, зафиксированный под обозначением CVE-2025-2783, оказался особенно интересным: он позволял обходить изоляционную защиту Chrome так, будто её и не существовало вовсе. Виной тому — ошибка логического характера, возникшая на границе взаимодействия браузера и операционной системы Windows.
Раскрывать все технические детали специалисты пока не спешат: публикация анализа запланирована после того, как пользователи повсеместно установят защитное обновление.
Расследование всё ещё продолжается, но уже сейчас ясно, что целью организаторов атаки был сбор информации. Рассылки выглядели как официальные приглашения на международный форум «Примаковские чтения» и адресовались сотрудникам медиаорганизаций, научных учреждений и органов власти в России. Название операции — «Форумный тролль» — было выбрано по ассоциации с содержанием этих писем.
В настоящий момент вредоносная ссылка утратила активность. При переходе пользователь попадает на реальный сайт форума. Тем не менее специалисты настойчиво рекомендуют воздержаться от открытия подобных писем и перехода по вложенным адресам.
Подробности расследования доступны в полном отчёте по ссылке.
