В марте 2025 года специалисты “Лаборатории Касперского” зафиксировали целевую атаку с применением ранее неизвестного сложного вредоносного ПО. Распространение происходило через тщательно подготовленные фишинговые письма, содержащие ссылки на вредоносные сайты. При переходе по ссылке в браузере Google Chrome происходило заражение – никаких дополнительных действий от пользователя не требовалось.
Все ссылки были уникальными для каждого получателя и имели ограниченный срок действия. Несмотря на это, исследователям удалось выявить факт эксплуатации уязвимости нулевого дня в Chrome. Эта уязвимость использовалась для побега из песочницы браузера.
После анализа эксплойта специалисты восстановили логику его работы и подтвердили, что он затрагивает даже последнюю версию Chrome. Уведомление было направлено в команду безопасности Google, которая 25 марта выпустила патч, устраняющий уязвимость CVE-2025-2783 (исправление вошло в версии Chrome 134.0.6998.177/.178).
CVE-2025-2783 связана с некорректной обработкой дескрипторов в компоненте Mojo на платформе Windows. Уязвимость позволяла злоумышленнику обойти защиту песочницы без выполнения явно вредоносных действий, как будто защита отсутствовала вовсе. Причиной оказалась логическая ошибка во взаимодействии между песочницей Chrome и операционной системой. По оценке исследователей, это один из наиболее сложных и интересных эксплойтов за последнее время.
Целевой атаке подверглись государственные организации, образовательные учреждения и российские СМИ. Все вредоносные письма были стилизованы под официальные приглашения на международный форум “Примаковские чтения” и содержали ссылки, ведущие на сайт с доменом, внешне идентичным официальному – primakovreadings[.]info.
На момент публикации вредоносная ссылка перенаправляет пользователей на реальный сайт форума, однако переход по ней остаётся небезопасным.
В ходе анализа была зафиксирована цепочка из нескольких эксплойтов. Один из них – для побега из песочницы, второй – предположительно, для удалённого выполнения кода. Получить второй эксплойт исследователям не удалось: это потребовало бы дожидаться новой волны атак, подвергая риску пользователей. Патч от Google блокирует всю цепочку на начальной стадии.
Атака получила внутреннее название “Форумный тролль”. Все признаки указывают на высокотехнологичную APT -группу с возможной государственной поддержкой. Характер вредоносного ПО и сценарий атаки свидетельствуют о шпионских целях.
Известные на данный момент индикаторы компрометации включают домен primakovreadings[.]info и следующие детекторы вредоносной активности:
Exploit.Win32.Generic
Trojan.Win64.Agent
Trojan.Win64.Convagent.gen
PDM:Exploit.Win32.Generic
PDM:Trojan.Win32.Generic
UDS:DangerousObject.Multi.Generic