Google Chrome’da şimdi paketlenmiş bir güvenlik kusuru, Taxoff olarak bilinen bir tehdit aktörü tarafından bir arka kapı kod adını dağıtmak için sıfır gün olarak kullanıldı. Üçlü.
Mart 2025’in ortalarında pozitif teknolojiler tarafından gözlemlenen saldırı, CVE-2025-2783 (CVSS skoru: 8.3) olarak izlenen bir sanal alan kaçış güvenlik açığının kullanımını içeriyordu.
Google, Kaspersky’nin çeşitli Rus örgütlerini hedefleyen forumtroll operasyon olarak adlandırılan bir kampanyada Wild Insoured’i bildirmesinin ardından o ayın ilerleyen saatlerinde kusura hitap etti.
Güvenlik araştırmacıları Stanislav Pyzhov ve Vladislav Lunin, “İlk saldırı vektörü kötü niyetli bir bağlantı içeren bir kimlik avı e -postasıydı.” Dedi. “Mağdur bağlantıyı tıkladığında, tek tıklamalı bir istismar (CVE-2025-2783) tetikledi ve Taxoff tarafından kullanılan Trinper Backdoor’un kurulmasına yol açtı.”
Kimlik avı e -postasının Primakov Okuma Forumu’na bir davet olarak gizlendiği söyleniyor – Kaspersky tarafından detaylandırılan aynı cazibe – kullanıcıları istismarı barındıran sahte bir web sitesine yol açan bir bağlantıyı tıklamaya çağırıyor.
Taxoff, Kasım 2024’ün sonlarında Rus siber güvenlik şirketi tarafından ilk olarak Rus siber güvenlik şirketi tarafından Trinper’ı teslim etmek için yasal ve finansla ilgili kimlik avı e-postalarını kullanan yerli hükümet kurumlarını hedeflemek olarak belgelenen bir hack grubuna atanmıştır.
C ++ ile yazılan arka kapı, kurban ana bilgisayar bilgilerini yakalamak, tuş vuruşlarını kaydetmek, belirli uzantıları (.xls, .ppt, .rtf ve .pdf ile eşleştiren dosyaları toplamak ve komut almak ve yürütmenin sonuçlarını yaymak için bir uzak sunucu ile bir bağlantı kurmak için çoklu işleme kullanır.
Komut ve Kontrol (C2) sunucusundan gönderilen talimatlar, implantın işlevselliğini genişleterek dosyaları okumasına/yazmasına, cmd.exe kullanarak komutları çalıştırmasına, bir ters kabuk başlatmasına, dizinini değiştirmesine ve kapanmasına izin verir.
Lunin, “Multipreading, verileri toplama ve ekleme, ek modüller yükleme ve C2 ile iletişimi sürdürme yeteneğini korurken arka kapıyı gizlemek için yüksek derecede paralellik sağlar.”
Pozitif teknolojiler, Mart 2025’teki saldırı ile ilgili soruşturmasının, Ekim 2024’e kadar uzanan başka bir saldırının keşfedilmesine yol açtığını ve bu da “Modern Dünyada Birlik Devletinin Güvenliği” adlı uluslararası bir konferansa davet edildiği iddia edilen bir kimlik avı e-postasıyla başladı.
E-posta mesajı ayrıca, açık kaynaklı donut yükleyici aracılığıyla Trinper Backdoor’u başlatmaktan sorumlu bir yükleyiciyi bırakırken, bir tuzak belgesini sunmak için bir PowerShell komutunu başlatan bir Windows kısayolu içeren bir zip arşiv dosyası indiren bir bağlantı içeriyordu. Saldırının bir varyasyonunun çörek yükleyicisini kobalt grevi lehine değiştirdiği bulunmuştur.
Bu saldırı zinciri, şirkete göre, iki tehdit faaliyet kümesinin bir ve aynı olma olasılığını artırarak Team46 olarak izlenen başka bir hack grubununkiyle birkaç taktik benzerlik paylaşıyor.
İlginç bir şekilde, Moskova merkezli telekom operatörü Rostelecom’dan olduğu iddia edilen bir ay önce Team46 saldırganları tarafından gönderilen başka bir kimlik avı e-postası seti, geçen yıl sözde bakım kesintilerinin alıcılarını uyardı.
Bu e -postalar, daha önce demiryolu yük endüstrisinde isimsiz bir Rus şirketini hedefleyen bir saldırıda başka bir arka kapı teslim etmek için kullanılan bir yükleyiciyi dağıtmak için bir PowerShell komutunu başlatan bir kısayolu yerleştiren bir ZIP arşivini içeriyordu.
Doctor Web tarafından detaylandırılan Mart 2024 saldırısı, yüklerden birinin, Yandex tarayıcısında (CVE-2024-6473, CVSS Puanı: 8.4) bir DLL kaçırma kırılganlığı silahlandırdığı gerçeğine dikkat çekiyor. Eylül 2024’te piyasaya sürülen 24.7.1.380 sürümünde çözüldü.
Araştırmacılar, “Bu grup, güvenli altyapılara daha etkili bir şekilde nüfuz etmesini sağlayan sıfır gün istismarlarından yararlanıyor.” Dedi. “Grup ayrıca, uzun vadeli bir stratejiye sahip olduğunu ve uzatılmış sistemlerde uzun bir süre boyunca devam etmeyi amaçladığını ima eden sofistike kötü amaçlı yazılımlar yaratıyor ve kullanıyor.”