Поделиться
«Дыру» в Google Chrome использовали, чтобы шпионить против России
Эксперты «Лаборатории Касперского» сообщили об обнаружении уязвимости нулевого дня и эксплойта к ней, которые уже активно использовались чьими-то кибершпионами. Уязвимость устранена в актуальном обновлении Chrome
Побег из «песочницы»
Google выпустил обновление браузера Chrome, устранив уязвимость нулевого дня, которая находилась под активной эксплуатацией.
Проблему обнаружили эксперты «Лаборатории Касперского» в середине марта 2025 г.: тогда клиенты компании столкнулись с волной заражений ранее неизвестным сложным вредоносным ПО.
Что особенно неприятно в данной ситуации, это что цепочка заражения запускалась сразу после того, как жертва открывала ссылку из фишингового письма в браузере Chrome. Никаких дополнительных действий не требовалось.
В публикации «Лаборатории» на Securelist говорится, что все вредоносные ссылки были персонализированы и имели очень короткий срок жизни. Тем не менее, исследователям удалось идентифицировать ранее неизвестный эксплойт, который хакеры использовали для выхода за пределы безопасной среды («песочницы») Google Chrome.
«Наше исследование еще продолжается, но, судя по функциональности сложного вредоносного ПО, использованного в атаке, целью злоумышленников был шпионаж. Вредоносные письма содержали приглашения от лица организаторов научно-экспертного форума «Примаковские чтения» и были нацелены на средства массовой информации и образовательные учреждения в России. Мы назвали эту кампанию «Форумный тролль», опираясь на тематику писем», - говорится в публикации.
Уязвимость, которую эксплуатировали злоумышленники, получила индекс CVE-2025-2783 и «высокоопасный» статус. По версии Google, «в Mojo под Windows при неуказанных обстоятельствах предоставляется неверный дескриптор». Mojo - это система межпроцессовых коммуникаций (IPC) в Google Chrome, набор библиотек абстракций, которые упрощают написание кода, связанного с вызовами между запущенными процессами.
В описании «Лаборатории» это - «логическая ошибка на стыке песочницы и операционной системы Windows».
«Очень продвинутая и спонсируемая государством APT-группа»
Эксплойт, который удалось перехватить, по данным экспертов компании, был разработан для запуска на пару с другим дополнительным эксплойтом.
«К сожалению, нам не удалось получить второй эксплойт. Мы могли бы это сделать, но тогда пришлось бы дожидаться новой волны атак и подвергать пользователей риску заражения. Исправление для уязвимости побега из песочницы предотвращает использование всей цепочки для дальнейших атак», - говорится в публикации «Лаборатории».
Все артефакты, которые исследователям удалось найти, указывают на очень высокий уровень подготовки операторов кампании, из чего эксперты «Лаборатории Касперского» делают вывод, что за атаками стоит «очень продвинутая и спонсируемая государством APT-группа».
«О том, что уязвимость представляет значительный риск, свидетельствует оперативность, с которой Google внес исправления», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «И если о степени угрозы от самой уязвимости пока что судить довольно сложно, тот факт, что она присутствовала в магистральной версии Google Chrome, означает огромный потенциальный охват. Кроме того, как обычно, как только все подробности станут известны, хакеры всех видов и родов начнут пытаться искать системы с необновленными браузерами - понятно, с какими целями».
В дальнейшем эксперты «Лаборатории» обещают опубликовать все технические подробности о кампании, но это произойдет только спустя время, достаточное для установки обновлений большинством пользователей Chrome.
Уязвимость устраняет обновление Chrome 134.0.6998.178. Оно уже доступно.
Поделиться
Короткая ссылка
