-
09/04/2020
-
117
-
1.214 bài viết
Hacker khai thác lỗ hổng zero-day Chrome trong chiến dịch gián điệp “ForumTroll”
Tháng 3/2025, Kaspersky phát hiện chiến dịch gián điệp mạng “Operation ForumTroll” nhắm vào các cơ quan truyền thông, viện nghiên cứu, trường đại học, tổ chức chính phủ và ngân hàng tại Nga. Chiến dịch này lợi dụng lỗ hổng zero-day nghiêm trọng CVE-2025-2783 trong trình duyệt Google Chrome, cho phép tin tặc xâm nhập hệ thống chỉ bằng việc nạn nhân truy cập vào trang web bị cài mã độc, mà không cần thực hiện bất kỳ thao tác nào khác.
Phát hiện này không chỉ cho thấy mức độ phức tạp của kỹ thuật tấn công hiện nay mà còn hé lộ mối liên hệ giữa mã độc được sử dụng và một công ty gián điệp mạng thương mại của Ý, cái tên từng gây chấn động trong giới an ninh mạng: Memento Labs, tiền thân là Hacking Team.
Theo Kaspersky, chiến dịch ForumTroll được triển khai thông qua email lừa đảo (phishing) được thiết kế rất tinh vi, ngụy trang dưới dạng thư mời tham dự Diễn đàn khoa học Primakov Readings (một sự kiện học thuật có thật, uy tín tại Nga).
Người nhận (thường là nhà báo, học giả, nhà nghiên cứu hoặc nhân viên trong các tổ chức nhà nước) sẽ nhận được liên kết tới một website trông giống hệt trang đăng ký chính thức, nhưng thực chất là trang web chứa mã khai thác lỗ hổng.
Chỉ cần mở trang web bằng Chrome hoặc các trình duyệt dựa trên Chromium, lỗ hổng CVE-2025-2783 sẽ được kích hoạt, vượt qua sandbox của Chrome và tải xuống phần mềm gián điệp mà người dùng không hề hay biết.
Đi sâu vào kỹ thuật, Kaspersky cho biết điểm yếu nằm ở cách Chrome xử lý “pseudo handle” - các giá trị đặc biệt mà hệ điều hành Windows sử dụng để đại diện cho tiến trình hoặc luồng hiện tại. Trong khi Chrome đã kiểm tra một số giá trị nguy hiểm như -1 (đại diện cho tiến trình hiện tại), trình duyệt lại không kiểm tra giá trị -2 (đại diện cho luồng hiện tại).
Tin tặc đã lợi dụng điểm thiếu sót này để gửi một thông điệp IPC có chứa giá trị -2. Khi thông điệp được xử lý, Windows vô tình biến giá trị này thành một “cánh cửa thật” tới luồng trong tiến trình trình duyệt. Bằng cách tạm dừng luồng, chèn mã độc vào bộ nhớ và tiếp tục chạy lại luồng đã bị chỉnh sửa, hacker có thể thực thi mã độc trực tiếp trong quá trình Chrome, vượt qua mọi giới hạn của sandbox - cơ chế vốn được thiết kế để cách ly mã độc khỏi hệ thống.
Google đã vá lỗ hổng này trong phiên bản Chrome 134.0.6998.177/.178, còn Mozilla cũng phát hiện lỗ hổng tương tự trong Firefox (CVE-2025-2857) và nhanh chóng phát hành bản cập nhật.
Khi phân tích sâu chuỗi mã độc, Kaspersky phát hiện liên hệ trực tiếp giữa chiến dịch ForumTroll và phần mềm gián điệp thương mại Dante. Mẫu mã độc được triển khai trong chiến dịch này có tên LeetAgent, một spyware tinh vi với các lệnh được viết bằng “leetspeak” (ngôn ngữ hacker dùng ký tự thay thế chữ cái). LeetAgent có khả năng:
Sự tương đồng trong mã nguồn, kỹ thuật tải và cơ sở hạ tầng máy chủ (C2) giữa ForumTroll và Dante cho phép Kaspersky kết luận rằng chiến dịch này sử dụng công cụ do Memento Labs phát triển. Memento Labs chính là phiên bản tái sinh của Hacking Team. Sau bê bối rò rỉ dữ liệu năm 2015, Hacking Team đổi tên thành Memento Labs vào năm 2019 và tiếp tục giới thiệu nền tảng Dante tại hội nghị ISS World MEA 2023, nhắm tới khách hàng là các cơ quan an ninh và tình báo.
Dù được quảng bá là “công cụ điều tra hợp pháp”, các chiến dịch như ForumTroll cho thấy những công cụ này hoàn toàn có thể bị lợi dụng hoặc rò rỉ ra ngoài, trở thành vũ khí trong các hoạt động gián điệp mạng xuyên quốc gia.
Chiến dịch ForumTroll thể hiện sự kết hợp hiếm thấy giữa kỹ thuật tấn công zero-day cấp cao và phần mềm gián điệp thương mại. Điều này đặt ra nhiều lo ngại:
Trong kỷ nguyên nơi mọi nhấp chuột đều có thể bị theo dõi, an toàn số không chỉ là chuyện kỹ thuật, mà là trách nhiệm chung của cả người dùng và nhà phát triển, bởi ranh giới giữa “giám sát hợp pháp” và “gián điệp phi pháp” chưa bao giờ mong manh đến thế.
Phát hiện này không chỉ cho thấy mức độ phức tạp của kỹ thuật tấn công hiện nay mà còn hé lộ mối liên hệ giữa mã độc được sử dụng và một công ty gián điệp mạng thương mại của Ý, cái tên từng gây chấn động trong giới an ninh mạng: Memento Labs, tiền thân là Hacking Team.
Theo Kaspersky, chiến dịch ForumTroll được triển khai thông qua email lừa đảo (phishing) được thiết kế rất tinh vi, ngụy trang dưới dạng thư mời tham dự Diễn đàn khoa học Primakov Readings (một sự kiện học thuật có thật, uy tín tại Nga).
Người nhận (thường là nhà báo, học giả, nhà nghiên cứu hoặc nhân viên trong các tổ chức nhà nước) sẽ nhận được liên kết tới một website trông giống hệt trang đăng ký chính thức, nhưng thực chất là trang web chứa mã khai thác lỗ hổng.
Chỉ cần mở trang web bằng Chrome hoặc các trình duyệt dựa trên Chromium, lỗ hổng CVE-2025-2783 sẽ được kích hoạt, vượt qua sandbox của Chrome và tải xuống phần mềm gián điệp mà người dùng không hề hay biết.
Đi sâu vào kỹ thuật, Kaspersky cho biết điểm yếu nằm ở cách Chrome xử lý “pseudo handle” - các giá trị đặc biệt mà hệ điều hành Windows sử dụng để đại diện cho tiến trình hoặc luồng hiện tại. Trong khi Chrome đã kiểm tra một số giá trị nguy hiểm như -1 (đại diện cho tiến trình hiện tại), trình duyệt lại không kiểm tra giá trị -2 (đại diện cho luồng hiện tại).
Tin tặc đã lợi dụng điểm thiếu sót này để gửi một thông điệp IPC có chứa giá trị -2. Khi thông điệp được xử lý, Windows vô tình biến giá trị này thành một “cánh cửa thật” tới luồng trong tiến trình trình duyệt. Bằng cách tạm dừng luồng, chèn mã độc vào bộ nhớ và tiếp tục chạy lại luồng đã bị chỉnh sửa, hacker có thể thực thi mã độc trực tiếp trong quá trình Chrome, vượt qua mọi giới hạn của sandbox - cơ chế vốn được thiết kế để cách ly mã độc khỏi hệ thống.
Google đã vá lỗ hổng này trong phiên bản Chrome 134.0.6998.177/.178, còn Mozilla cũng phát hiện lỗ hổng tương tự trong Firefox (CVE-2025-2857) và nhanh chóng phát hành bản cập nhật.
Khi phân tích sâu chuỗi mã độc, Kaspersky phát hiện liên hệ trực tiếp giữa chiến dịch ForumTroll và phần mềm gián điệp thương mại Dante. Mẫu mã độc được triển khai trong chiến dịch này có tên LeetAgent, một spyware tinh vi với các lệnh được viết bằng “leetspeak” (ngôn ngữ hacker dùng ký tự thay thế chữ cái). LeetAgent có khả năng:
- Ghi lại bàn phím (keylogging)
- Đánh cắp tệp tin và thông tin hệ thống
- Thực thi lệnh từ xa từ máy chủ điều khiển
Sự tương đồng trong mã nguồn, kỹ thuật tải và cơ sở hạ tầng máy chủ (C2) giữa ForumTroll và Dante cho phép Kaspersky kết luận rằng chiến dịch này sử dụng công cụ do Memento Labs phát triển. Memento Labs chính là phiên bản tái sinh của Hacking Team. Sau bê bối rò rỉ dữ liệu năm 2015, Hacking Team đổi tên thành Memento Labs vào năm 2019 và tiếp tục giới thiệu nền tảng Dante tại hội nghị ISS World MEA 2023, nhắm tới khách hàng là các cơ quan an ninh và tình báo.
Dù được quảng bá là “công cụ điều tra hợp pháp”, các chiến dịch như ForumTroll cho thấy những công cụ này hoàn toàn có thể bị lợi dụng hoặc rò rỉ ra ngoài, trở thành vũ khí trong các hoạt động gián điệp mạng xuyên quốc gia.
Chiến dịch ForumTroll thể hiện sự kết hợp hiếm thấy giữa kỹ thuật tấn công zero-day cấp cao và phần mềm gián điệp thương mại. Điều này đặt ra nhiều lo ngại:
- Người dùng chỉ cần một cú click vào đường link giả là có thể bị xâm nhập hoàn toàn.
- Kẻ tấn công có thể kiểm soát thiết bị, đánh cắp dữ liệu, truy cập tài khoản email và tài liệu nhạy cảm.
- Tổ chức, cơ quan báo chí, trường đại học hoặc viện nghiên cứu có thể bị rò rỉ dữ liệu chiến lược hoặc tài liệu nghiên cứu quan trọng.
- Các phần mềm gián điệp thương mại bị lạm dụng có thể phá vỡ ranh giới giữa an ninh quốc gia và tội phạm mạng.
- Cập nhật trình duyệt Chrome và Firefox lên phiên bản mới nhất.
- Không nhấp vào liên kết trong email lạ, đặc biệt là thư mời tham dự sự kiện hoặc hội thảo.
- Bật tính năng cập nhật tự động cho trình duyệt và hệ điều hành.
- Tăng cường giám sát hành vi mạng trong tổ chức, nhất là khi thấy các kết nối lạ từ Chrome.
- Với các tổ chức, nên đào tạo nhân viên nhận diện phishing và thiết lập chính sách phân quyền truy cập rõ ràng.
Trong kỷ nguyên nơi mọi nhấp chuột đều có thể bị theo dõi, an toàn số không chỉ là chuyện kỹ thuật, mà là trách nhiệm chung của cả người dùng và nhà phát triển, bởi ranh giới giữa “giám sát hợp pháp” và “gián điệp phi pháp” chưa bao giờ mong manh đến thế.
WhiteHat