Chrome零時差漏洞遭鎖定 駭客對高情資單位發動攻擊

記者孫敬／編譯

駭客組織Mem3nt0 mori傳出利用Google Chrome瀏覽器中的一項零時差漏洞，對俄羅斯與白俄羅斯境內的目標發動攻擊。此漏洞被命名為CVE-2025-2783，它允許攻擊者在極少的互動下，繞過Chrome的沙箱保護機制，進而植入間諜軟體。

延伸閱讀：8成寬頻用戶沒改路由器密碼 駭客可做跳板發動惡意攻擊

零時差漏洞技術解析，偽柄邏輯錯誤造成沙箱逃逸

卡巴斯基研究人員於2025年3月發現該漏洞，而Google也迅速發布了修補程式，但在修補前，惡意感染已透過客製化的網路釣魚活動散播，像是模仿知名「普里馬科夫作品國際論壇」（Primakov Readings）的邀請函，因此卡巴斯基將這項行動命名為ForumTroll。駭客攻擊目標鎖定媒體、大學、政府機構以及金融單位，顯示該駭客集團的意圖主要集中在情報蒐集。

受害者收到的電子郵件以俄文撰寫，製作得幾可亂真，引誘目標點擊進入惡意網站。一旦造訪該網站，感染即自動啟動，無需任何額外的下載或點擊。這一感染鏈特別鎖定Chrome的Mojo行程間通訊（IPC）系統，這是Windows系統上處理瀏覽器程序間資料的關鍵元件。

卡巴斯基全球研究與分析團隊（GReAT）調查的感染過程顯示，攻擊經過多個精心設計的階段。首先，釣魚網站會啟動一段驗證腳本，利用WebGPU確認造訪者是否為真正的瀏覽器用戶，以此阻止自動掃描器的偵測。如果確認是合法造訪，隨後會透過橢圓曲線迪菲-赫爾曼金鑰交換（ECDH），解密隱藏在JavaScript文件或字體檔中的下一階段酬載。

儘管駭客進行遠端程式碼執行（RCE）的過程細節難以完全捕獲，但沙箱逃逸（CVE-2025-2783）是整個攻擊中的關鍵環節。它透過掛鉤Chrome的V8檢測器和ipcz函式庫，繼而中繼執行緒句柄，暫停並劫持瀏覽器主程序，最終注入一個持久性的載入器。

間諜軟體LeetAgent，與商業駭客工具Dante的黑暗連結

卡巴斯基在2022年首次追蹤到LeetAgent，並發現其載入器與義大利公司Memento Labs的商業間諜軟體Dante共享程式碼。Memento Labs正是惡名昭彰的Hacking Team於2019年更名的而來。Dante曾在2023年的ISS World會議上揭露，以其虛擬機保護（VMProtect）、反除錯機制和動態API解析等進階功能聞名。

卡巴斯基確認ForumTroll行動的工具包在持久化機制、字體隱藏資料的方法，以及漏洞利用程式碼方面，都與Memento Labs的Dante存在明確重疊。

專家提醒，在Chrome漏洞修補後不久，Firefox也修補了類似的IPC邏輯錯誤（CVE-2025-2857），使用者應立即將Chrome更新至134.0.6998.177或更高版本，並啟用加強型安全瀏覽功能。

資料來源：Cyber Security News