Mart 2025’in ortalarında, Kaspersky araştırmacıları, Google Chrome’da daha önce bilinmeyen sıfır gün istismarından yararlanan ForumTroll Operasyonu olarak adlandırılan sofistike bir APT saldırısı ortaya çıkardılar.
Bu istismar, saldırganların kötü niyetli kodları izole etmek ve içermek için tasarlanmış kritik bir güvenlik özelliği olan Chrome’un sanal alan korumalarını atlamasına izin verdi.
Saldırı, kurbanları Google Chrome’da açıldığında herhangi bir ek kullanıcı etkileşimi gerektirmeden hemen enfekte eden kötü niyetli bağlantılara yönlendiren kişiselleştirilmiş kimlik avı e -postaları aracılığıyla başlatıldı.
İstismarın teknik detayları
CVE-2025-2783 olarak tanımlanan istismar, Chrome’un sanal alanının ve Windows işletim sisteminin kesişiminde mantıklı bir hatadan yararlanarak Chrome’un sanal alanını atlama yeteneği nedeniyle özellikle dikkate değerdi.
Kaspersky’nin istismar algılama teknolojileri, istismarı başarıyla tanımladı ve analiz etti ve şirketin güvenlik açığını Google’a bildirmesini sağladı.
Sonuç olarak Google, 25 Mart 2025’te sorunu ele almak için bir güncelleme yayınladı ve Sandbox Kaçış Güvenlik Açığı’nı yamalayarak saldırı zincirini etkili bir şekilde engelledi.
Uzaktan kod yürütülmesi için gerekli olan ikinci istismar elde edilmemesine rağmen, ilk güvenlik açığının yamalanması saldırıyı etkili bir şekilde etkisiz hale getirdi.
Saldırı Kampanyası ve Hedefler
Operasyon ForumTroll, Rusya’daki medya kuruluşlarını ve eğitim kurumlarını, kimlik avı e -postaları “Primakov Okumaları” bilimsel ve uzman forumuna davet ediyor.
Kötü amaçlı yazılımların ve kullanılan taktiklerin sofistike olması, saldırının devlet destekli bir APT grubu tarafından yürütüldüğünü ve casusluk muhtemelen birincil hedef olduğunu göstermektedir.
Saldırganların operasyonun karmaşıklığına ve gizliliğine eklenen yüksek kişiselleştirilmiş ve kısa ömürlü kötü niyetli bağlantılar kullanması.
Kaspersky, kullanıcıların önemli bir kısmı tarayıcılarını yamalı sürüme güncelledikten sonra, istismarın teknik yönleri ve saldırganların teknikleri hakkında ayrıntılı bir rapor yayınlamayı planlıyor.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.