Ünlü Mem3nt0 mori hacker grubu, Google Chrome’daki sıfır gün güvenlik açığından aktif olarak yararlanarak Rusya ve Beyaz Rusya’daki yüksek profilli hedefleri tehlikeye atıyor.
CVE-2025-2783 olarak adlandırılan bu kusur, saldırganların Chrome’un güçlü sanal alan korumalarını minimum kullanıcı etkileşimi ile atlamasına olanak tanıyarak karmaşık casus yazılımların yayılmasına yol açtı.
Kaspersky araştırmacıları tarafından Mart 2025’te keşfedilen Google, bu güvenlik açığını hızlı bir şekilde düzeltti; ancak enfeksiyonlar, prestijli Primakov Okumaları forumuna yapılan davetleri taklit eden kişiselleştirilmiş kimlik avı kampanyaları yoluyla yayıldı.
| CVE Kimliği | Tanım | CVSS Puanı | Etkilenen Sürümler | Yama Sürümü | Darbe |
|---|---|---|---|---|---|
| CVE-2025-2783 | Mojo IPC’de yanlış tanıtıcı doğrulaması, Windows’ta korumalı alandan kaçışa yol açıyor | 9,8 (Yüksek) | Krom <134.0.6998.177 | 134.0.6998.177/.178 | Rastgele kod yürütme, casus yazılım dağıtımı yoluyla casusluk |
Kaspersky’nin ForumTroll adlı operasyonunun bir parçası olan saldırılar, medya kuruluşlarını, üniversiteleri, devlet kurumlarını ve finansal kurumları hedef aldı ve grubun istihbarat toplamaya odaklandığının altını çizdi.
Kurbanlar, Rusça olarak kusursuzca hazırlanmış e-postalar aldılar ve bu e-postalar onları, ziyaret sırasında istismarı tetikleyen kötü amaçlı sitelere yönlendirdi; ilk bağlantının ötesinde herhangi bir indirme veya tıklama gerekmedi.
Bu virüs bulaşma zinciri, Windows’taki tarayıcı işlemleri arasındaki verileri işlemek için kritik bir bileşen olan Chrome’un Mojo süreçler arası iletişim sisteminden yararlandı.
Güvenlik açığı ince bir gözden kaçırmadan kaynaklandı: Chrome’un kodu -2 (geçerli iş parçacığı için) gibi sözde tanıtıcıları doğru şekilde doğrulayamadı ve saldırganların sistemi kopyalayarak sanal alan sınırları boyunca tanıtıcıları çoğaltmasına olanak sağladı.
Eski Windows optimizasyonlarından kaynaklanan bu mantıksal kusur, ayrıcalıklı tarayıcı sürecinde kabuk kodu yürütülmesine izin vererek kötü amaçlı yazılımların kalıcılığının önünü açtı.
Saldırı Zincirini Çözmek
Enfeksiyon, Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT) tarafından yeniden yapılandırıldığı üzere dikkatle tasarlanmış aşamalar halinde ilerledi.
Her şey, gerçek bir tarayıcı ziyaretini doğrulamak için WebGPU’yu kullanan ve otomatik tarayıcıları engelleyen bir kimlik avı e-posta doğrulama komut dosyasıyla başladı.
Doğrulanırsa, eliptik eğri Diffie-Hellman anahtar değişimi, JavaScript paketleri ve yazı tipleri gibi zararsız dosyalarda gizlenen bir sonraki yükün şifresini çözdü.
Her ne kadar uzaktan kod yürütme (RCE) istismarı yakalamadan kaçınsa da, CVE-2025-2783 yoluyla sanal alandan kaçış çok önemliydi: iş parçacığı tanıtıcılarını aktarmak, kalıcı bir yükleyici eklemek için tarayıcı sürecini askıya almak ve ele geçirmek için Chrome’un V8 denetçisindeki ve ipcz kütüphanesindeki işlevleri bağladı.
Bu yükleyici, rdpclip.exe gibi işlemlerde kötü amaçlı yazılımların yürütülmesini sağlamak için twinapi.dll gibi meşru bileşenler için Windows kayıt defteri girdilerini geçersiz kılan COM ele geçirme yöntemini kullandı.
OLLVM ile karartılan ve değiştirilmiş bir ChaCha20 aracılığıyla şifrelenen veri, keylogging, dosya hırsızlığı (belgeleri, PDF’leri ve e-tabloları hedefleme) ve işlem ekleme gibi görevler için leetspeak komutlarını kullanarak nadir bir casus yazılım olan LeetAgent’ta şifresini çözdü.
Yapılandırma, Fastly.net’teki C2 sunucularından HTTPS üzerinden geldi; yoğun trafik gizleme, ticari kökenlere işaret ediyordu.
Kaspersky, LeetAgent’ın ilk çıkışını 2022’ye kadar takip etti ve bunu ISO dosyaları ve ortaklık daveti olarak gizlenen LNK kısayolları gibi kötü amaçlı ekler içeren daha geniş ForumTroll kampanyalarıyla ilişkilendirdi.
Daha derin analizler, LeetAgent’ın yükleyicisinin, 2019’da kötü şöhretli Hacking Team’den yeniden markalanan, İtalyan Memento Labs firmasının bulunması zor bir ticari casus yazılımı olan Dante ile kod paylaştığını ortaya çıkardı.
2023 ISS Dünya konferansında tanıtılan Dante, VMProtect gizlemeyi, VM yapıları için olay günlüğü sorguları aracılığıyla hata ayıklamayı önlemeyi ve kancalardan kaçınmak için dinamik API çözümlemeyi paketledi.
Orkestratörü, %LocalAppData% altında Base64 adlı klasörlerde saklanan CPU kimliklerinden ve ürün anahtarlarından gelen makineye bağlı anahtarları kullanarak AES-256 ile şifrelenmiş modülleri yönetiyordu.
Kaspersky, satıcının “sıfırdan başlama” vaatlerine rağmen ForumTroll’ün araç setini Memento Labs’e atfederek kalıcılık, gizli yazı tipi verileri ve yararlanma kodundaki örtüşmeleri doğruladı.
Bu keşif, Dante gibi araçların, Dante Alighieri’nin cehennemi yolculukları aracılığıyla Hacking Team’in “Da Vinci”sine kafa sallama potansiyelinin APT’nin ellerinde devam ettiği karanlık casus yazılım pazarının dayanıklılığını vurguluyor.
Firefox kısa bir süre sonra CVE-2025-2857 ile benzer bir IPC kusurunu yamaladı. Uzmanlar, diğer yazılımlarda devam eden sahte işleme riskleri konusunda uyarıyor.
Koruma için Chrome’u 134.0.6998.177 veya sonraki bir sürüme güncelleyin, gelişmiş güvenli taramayı etkinleştirin ve şüpheli Base64 klasörleri gibi IOC’leri izleyin.
Mem3nt0 mori geliştikçe, dijital gölgelerle dolu bu kedi-fare oyununda kimlik avına karşı dikkatli olmak en önemli konu olmaya devam ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
