26/03/25
В марте 2025 года сотрудники средств массовой информации, образовательных учреждений и правительственных организаций в России подверглись ранее неизвестной целевой атаке Операция «Форумный тролль». Волну попыток заразить пользователей сложным вредоносным ПО с применением нескольких эксплойтов нулевого дня распознали технологии «Лаборатории Касперского».
Эксперты Kaspersky GReAT (глобального центра исследований и анализа угроз «Лаборатории Касперского») сообщили об обнаруженной бреши в команду безопасности Google, в результате чего 25 марта 2025 года было выпущено обновление, исправляющее уязвимость CVE-2025-2783.
Персонализированные атаки. Сотрудники российских организаций получали письмо с предложением принять участие в научно-экспертном форуме «Примаковские чтения» якобы от его организаторов. В грамотно написанном тексте о мероприятии содержалась персонализированная ссылка. Если жертва переходила по ней и открывался браузер Chrome (или другой браузер на движке Chromium), устройство сразу заражалось, никаких дополнительных действий от пользователя не требовалось.
Операция «Форумный тролль». Технологии обнаружения и защиты от эксплойтов «Лаборатории Касперского» смогли идентифицировать атаку. Исследование Kaspersky GReAT подтвердило, что злоумышленники применяли эксплойт нулевого дня для побега из «песочницы» веб-браузера Chrome, в том числе последней версии. Целью сложного вредоносного ПО, использованного в атаке, был шпионаж. Уязвимость CVE-2025-2783 позволяла легко обойти защиту «песочницы» Chrome, не совершая никаких очевидно вредоносных или запрещённых действий. Причиной этого оказалась логическая ошибка на стыке «песочницы» и операционной системы Windows.
«В операции „Форумный тролль“ использовался один из самых изощрённых эксплойтов, которые исследовала команда Kaspersky GReAT. Анализ артефактов показал, что вредоносная кампания проводилась злоумышленниками с очень высоким техническим уровнем подготовки. Мы можем с уверенностью говорить, что за этой атакой стоит спонсируемая государством APT-группа, — комментирует Борис Ларин, ведущий эксперт Kaspersky GReAT. — Как только большинство пользователей установят исправленную версию Chrome, мы опубликуем подробный отчёт с техническими данными и подробностями об эксплойте нулевого дня, сложном вредоносном ПО и техниках злоумышленников».
Продукты «Лаборатории Касперского» детектируют эксплойты и вредоносное ПО, использованные в этой атаке.
Для защиты компаний эксперты рекомендуют:
- использовать комплексное решение, обеспечивающее обнаружение эксплойтов в режиме реального времени, например Kaspersky EDR Expert, и решение для защиты корпоративной переписки, такое как Kaspersky Security для почтовых серверов;
- проводить тренинги по кибербезопасности для сотрудников, в том числе обучать их тому, как распознавать целевые фишинговые атаки. Для этого, например, можно использовать онлайн-платформу Kaspersky Automated Security Awareness Platform.
