Visszatért Hacking Team
A Kaspersky egy célzott kémkampányt ismertet, amelyet az Operation ForumTroll fedőnév alatt dokumentáltak, és amelynek központi eleme a Dante nevű, többfunkciós kém-backdoor felbukkanása. A támadók személyre szabott horgonylinkeket küldtek, amelyek látszólag egy orosz rendezvényre – a Primakov Readings fórumra – invitálták azokat, akiket célba vettek, újságírókat, egyetemeket, kutatóintézeteket, kormányzati és pénzügyi szervezeteket Oroszországon belül. A fertőzés indítása nem igényelt külön letöltést; elég volt, ha az áldozat Chromium-alapú böngészővel meglátogatta a rövid életű, személyre szabott URL-t.
A kampány technikai magja egy súlyos sandbox-kijátszó exploit volt, amelyet Kaspersky kutatói azonosítottak és a Google-nak jelentve CVE-2025-2783 néven került be a javítások közé. Az exploitot úgy használták, hogy a böngésző sandboxból sikeresen kijutva a támadók kódot futtathattak a gépen anélkül, hogy további interakcióra szükség lett volna. Az attack-chain más rétegei közé tartozott egy validator komponens, amely a köztes webes lépést hitelesítőként szolgálta, majd a sandbox escape után egy perzisztens loader települt, amely a későbbi modulok betöltését és a tartós jelenlétet biztosította. A kutatók a lejáró linkek és a rövid életű infrastruktúra miatt nagyon gyors reakciót igénylő hadműveletként írták le a kampányt.
A Dante tartalmaz alapvető backdoor-funkciókat, de fejlettebb kémfunkciókat is, mint a billentyűleütés-naplózás, képernyőkép-készítés és környezeti adatgyűjtés. A C2-kommunikáció több pufferen át ment, többféle protokollt és fallback-csatornát használva, hogy a védelmi műveleteket megnehezítse. A jelentés rávilágít arra is, hogy a támadók mennyire ügyelnek a lopakodásra, gyorsan forgó URL-ek, rövid életű szerverek, és a telepített komponensek erős elkülönítése a rendszer többi részétől, hogy a forenzika megnehezüljön. Kaspersky részletes IoC-listát és viselkedési jeleket közöl a cikk végén, és hangsúlyozza, hogy a kampány kém-célú jellegű — az ellopott adatok stratégiai értékűek lehetnek.
Az alkalmazott TTp-k azt mutatják, hogy a korábbi Hacking Team – jelenleg a Memento Labs – , célzott, professzionális szereplők visszatérő mintákat követnek, személyre szabott pszichológiai megtévesztés (social engineering), gyors exploit-életciklus, sandbox-kiugrás és moduláris, perzisztens backdoorok. Másrészt nem elég a hagyományos malware-védelem, külön figyelmet kell fordítaniuk a böngésző- és plugin-javításokra, a rövid életű, személyre szabott URL-ek észlelésére, valamint a böngésző-sandbox kijátszására utaló anomáliák.
