研究人員在重建ForumTroll APT組織在攻擊中的感染鏈後,發現他們使用的工具同時被用來散播商業惡意程式Dante,利用Chrome中的零時差安全漏洞CVE-2025-2783,針對媒體、政府、教育和金融界別發動攻擊。
ForumTroll APT的運作
在今年3月,研究人員偵測到前所未見的精密惡意程式,攻擊者使用短暫的網頁今有Chome內的零時差安全漏洞CVE-2025-2783,他們向媒體、政府部門、教育和金融界別的員工發送電郵,邀請他們參加Primakov Readings研究會,所以該活動也以「Forum Troll」命名,背後的組織則叫ForumTroll。當收件者點擊電郵連結,裝置便會被惡意程式LeetAgent感染,名字是因為從控制伺服器接收Leet修改拼字的命令。
隨後研究人員繼續追蹤ForumTroll的活動,他們發現更多針對俄羅斯及白俄羅斯機構個個人的攻擊,此外,在搜尋同樣使用LeetAgent的攻擊時,發現有其他個案使用了更精密的惡意程式。
甚麼是Dante?
惡意程式以模組方式結構,使用模組加密,每位受害者都擁有唯一的金鑰,如果在一定時間內沒接收到控制伺服器的命令,便會自我毀滅,結果研究人員發現它其實是商業間諜程式Dante,由意大利公司Memento Labs (前Hacking Team)所開發。Hacking Team曾經是商業間諜程式的先驅,但是在2015年時公司自己的基礎設施被入侵,大部份內部文件包括商業間諜程式的原代碼被公諸於網絡,此後公司被出售並改名為Memento Labs。關於Dante惡意程式的資料可以參考Securelist的文章。
防範ForumTroll
透過LeetAgent的攻擊可以被XDR方案偵測,關於ForumTroll組織、Dante間諜軟件等更詳盡資料,將會在將來陸續於Threat Intelligence Portal內發佈。
資料來源:Kaspersky Blog
