در یک کمپین هدفمند مرتبط با عملیاتForumTroll، حملهکنندگان از یک zero-day در Google Chrome (CVE-2025-2783) برای فرار از sandbox مرورگر و دانلود/اجرای جاسوسافزار LeetAgent استفاده کردند. تحلیلهای تحقیقاتی نشان میدهد که این زنجیره ی حمله مبتنی بر فیشینگِ لینکمحور است و پس از بهرهبرداری، بدافزار قابلیتهای جمعآوری اطلاعات، ارتباط C2 و ماندگاری را فعال میکند.
منابع و ارجاعات کلیدی
✔️ گزارش Kaspersky که ارتباط ابزار LeetAgent را با ابزارهای بهکاررفته در حملات ForumTroll و Dante (Memento Labs) نشان میدهد.
✔️ پوشش خبری و تحلیل فنی روی بهرهبرداری از zero-day و تحویل جاسوسافزار.
✔️ ثبت و توضیحات CVE-2025-2783 در NVD / اعلامیه CISA که این آسیبپذیری را بهعنوان exploited in the wild فهرست کرده است.
✔️ تحلیلهای ثانویه و برداشتهای فنی از منابع امنیتی مستقل (Fidelis / SecurityWeek / HelpNetSecurity) که مکانیزم Mojo IPC / sandbox escapeرا تشریح میکنند.
خلاصه فنی آسیبپذیری (CVE-2025-2783)
✔️ نوع: Mojo IPC / Chromium sandbox escape (sandbox bypass / potential RCE when chained)
✔️ دامنه تأثیر: نسخههای Chrome قبل از ساخت پَچی که گوگل منتشر کرده بود، آسیبپذیری در مؤلفهی بینفرآیندی Mojo قرار دارد که امکان فرار از محدودیتهای sandbox را فراهم میکند.
✔️ شدّت: امکانی برای اجرای کد در فضای میزبان پس از فرار از sandbox : بنابراین مرورگر به تنها نقطه ورود تبدیل شده و با chain کردن اکسپلویتهای دیگر میتواند به تسلط کامل روی میزبان منجر شود.
زنجیره بهرهبرداری (Attack Chain) : تشریح مرحلهبهمرحله
- شواهد اولیه spear-phishing لینکمحور: قربانی ایمیلی یا لینک دعوت به «انجمن/کنفرانس علمی» دریافت میکند که حاوی URL مخرب است. کلیک روی لینک، ترافیک را به یک صفحه مهاجم هدایت میکند که اکسپلویت مبتنی بر مرورگر را تزریق میکند (drive-by) .
- فرار از sandbox : اکسپلویت از ضعف در Mojo IPC استفاده میکند تا بهصورت محلی از محدودیتهای sandbox کروم خارج شود (CVE-2025-2783) .
- بارگیری و اجرای بارگذاریگر / payload : پس از فرار از sandbox، یک loader یا dropper دانلود و اجرا میشود که قادر است فایلهای باینری/ماژولهای جاسوسی را در میزبان نصب کند. در این کمپین، payload نهایی شناسایی شده LeetAgent بوده است.
- برقراری ارتباط با C2 و ماندگاری: LeetAgent با استفاده از کانالهای رمزگذاریشده و تکنیکهای پوششی ارتباط برقرار میکند، دادهها را جمعآوری و طی فازهای متعدد به مخازن مهاجم اکسفیلتر مینماید.
نکته: این نوع اکسپلویتها معمولاً نیاز به chain شدن چند مشکل (مثلاً یک باگ در renderer + ضعف در sandbox) دارند تا به اجرای کد در سطح سیستم برسند — لذا تحلیل دقیق باینریها و پَکتکپچرها برای شناسایی کامل زنجیره حیاتی است.
قابلیتها و رفتار LeetAgent (آنچه از گزارشها استخراج شده)
✔️ قابلیتهای شناختهشده: جمعآوری دادههای میزبان، جمعآوری اطلاعات مرورگر، سرقت کوکی/توکنها، ثبتکلید/اسکرینشات، و برقراری کانال C2 برای دریافت فرمانها.
✔️ استفاده از تکنیکهای پوششی: استفاده از پروتکلهای قانونی (HTTPS)، تغییر User-Agent و احتمالا فریمینگ ترافیک برای اجتناب از تشخیصهای شبکهای.
✔️ پیوند به ابزارهای تجاری: تحلیلها نشان میدهد که ابزارهای مشابه یا ماژولهایی از Memento Labs (Dante) در مجموعه حملات یافت شده که ممکن است نشاندهندهی استفادهی مشترک از ابزارها یا تامینکننده ی تجاری باشد.
شاخصهای شناسایی (IOCs) و telemetry پیشنهادی برای SOC / EDR
شبکه (نیازی به جمعآوری از منابع لاگ):
- دامنهها/URLهای بهکاررفته در حمله (از مقالهها و نمونهها استخراج کنید) . بلاک/قرنطینه.
- الگوهای ارتباطی غیرعادی: اتصالات خروجی HTTPS به hostهایی با نامگذاری عجیب یا User-Agentهای ساختگی.
میزبان (EDR / Endpoint) :
- فرایندهایی که از Chrome به فرایندهای سیستمی غیرمعمول spawn میشوند (child process creation from chrome.exe).
- اجرای فایلهای اجرایی یا لودرهای ناشناخته در پوشههای موقت پس از بازدید وبسایتها.
- رفتارهای جمعآوری اطلاعات (file reads در مسیرهای پروفایل مرورگر، AppData، Documents) در زمان نزدیک به بازدید صفحات مشکوک.
لاگ مرورگر / Webstack :
ارزیابی crash dumps یا renderer hang logs برای شواهد exploitation attempts در زمان بازدید صفحات.
توصیههای فوری اولویتبندیشده برای سازمانها
سطح فوری (0–24 ساعت):
- بهروزرسانی فوری مرورگرها: اعمال patch رسمی Chrome (نسخهی منتشرشده توسط گوگل پس از افشای CVE-2025-2783). این سادهترین و مؤثرترین اقدام است.
- آموزش و هشدار به کاربران در مورد لینکهای ناشناس: بهخصوص ایمیلهای دعوت یا ثبتنام کنفرانس/فروم که حاوی لینک هستند.
سطح کوتاهمدت (1–7 روز):
-
تشدید مانیتورینگ EDR : قوانین تشخیص child process spawn از chrome.exeو هشدار برای دانلود/اجرای فایلهای غیرمنتظره پس از بازدید وب.
-
فعالسازی/بررسی Site Isolation و sandbox hardening در Chrome : تنظیمات enterprise که سطح آسیبپذیری را کاهش میدهند.
سطح میانمدت (هفتهها):
تستهای Red Team / Purple Team : شبیهسازی drive-by exploit و بررسی لاگها/فرایندهای پاسخ برای بهبود playbookهای SOC.
گزارشگیری و بهروزرسانی TI feeds : افزودن IOCهای مرتبط با LeetAgent و ForumTroll به سیستمهای SIEM/Threat-Intelligence .
توصیههایی برای توسعهدهندگان و تیمهای وب
✔️ محدود کردن عملکردهای حساس در صفحات مبتنی بر مرورگر (مثلاً ارزیابی محتوای خارجی با CSP سختگیرانه).
✔️ فعالکردن HTTP-Only، Secure cookie flags و کاهش سطح پیشفرض اجرای محتوای third-party.
✔️ استفاده از sandboxed iframes و Content Security Policy (CSP) برای کاهش سطح تهدید از منابع خارجی.
بحث در مورد Attribution و تبعات حقوقی/سیاسی
گزارشها نشان می-دهند که ابزارها و تاکتیکهای بهکاررفته در این موج، مشابه ابزارهایی هستند که به Memento Labs (قبلاً Hacking Team) و گروهی که تحلیلگران آن را ForumTroll نامیدهاند نسبت داده شدهاند. اما دقت کنید که «استفاده از ابزار مشترک» الزاماً به معنای مالکیتِ عملیاتی نیست . فروشندگان تجاری spyware و اشتراک ابزار میان بازیگران مختلف میتواند تبیینگر این همپوشانی باشد. تحلیلهای بیشتر و اشتراک دادههای telemetry برای تعیین دقیق attribution لازم است.
نمونه Playbook کوتاه برای SOC (رویه واکنش)
- مشاهده: هشدار child process spawn از chrome.exe : قرنطینه میزبان.
- جمعآوری: بستههای شبکه از زمان رخداد، process lists، و فایلهای موقت دانلود شده.
- تحلیل: شناسایی ارتباطات خروجی مشکوک و تطبیق با IOCهای LeetAgent
- پاکسازی: حذف فایلها/مداخله روی persistence, ریبوت امن پس از پاکسازی و بازگرداندن از snapshot امن.
- گزارش: بهروزرسانی TI feeds و اطلاعرسانی به کاربران سازمانی.
نتیجهگیری
این کمپین بار دیگر نشان داد که «مرورگر» همچنان برد اصلی حمله برای APT ها است:
ترکیب یک Zero-Day در sandbox کروم با فیشینگِ دقیق میتواند به آمادهسازی مسیر برای نفوذ عمیق منجر شود. بهروزرسانی نرمافزارها، تقویت telemety و EDRو آمادهسازی playbookهای واکنش سریع، مؤلفههای کلیدی دفاع هستند.
