Chrome zero-day επέτρεψε την ανάπτυξη του Trinper backdoor
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Chrome zero-day επέτρεψε την ανάπτυξη του Trinper backdoor
https://www.secnews.gr/651322/chrome-zero-day-epetrepse-anaptiksi-trinper-backdoor/
Jun 18th 2025, 11:58
by Digital Fortress
Ένα κρίσιμο κενό ασφαλείας στο Google Chrome, το οποίο έχει πλέον επιδιορθωθεί, αξιοποιήθηκε ενεργά από την απειλητική ομάδα TaxOff για την ανάπτυξη ενός προηγμένου backdoor, με την ονομασία Trinper.
Η επίθεση εντοπίστηκε στα μέσα Μαρτίου 2025 από την Positive Technologies και σχετιζόταν με την ευπάθεια CVE-2025-2783 (βαθμολογία CVSS 8.3), που επέτρεπε την παράκαμψη του sandbox του Chrome. Το exploit χρησιμοποιήθηκε στο πλαίσιο phishing καμπάνιας, όπου ένα παραπλανητικό email υποδυόταν πρόσκληση στο φόρουμ Primakov Readings, οδηγώντας το θύμα σε κακόβουλο ιστότοπο που αξιοποιούσε την ευπάθεια για one-click εκμετάλλευση.
Η Google διόρθωσε το κενό ασφαλείας προς τα τέλη Μαρτίου, μετά από σχετική ειδοποίηση της Kaspersky, η οποία είχε ανιχνεύσει real-world επιθέσεις σε ρωσικούς οργανισμούς.
Δείτε επίσης: Η Veeam προειδοποιεί για νέα σοβαρή ευπάθεια στο VBR
Το backdoor Trinper, γραμμένο σε C++, διαθέτει προηγμένες δυνατότητες κατασκοπείας: κλοπή πληροφοριών συστήματος, καταγραφή πληκτρολογήσεων, συλλογή εγγράφων (.doc, .xls, .pdf κ.ά.) και επικοινωνία με C2 διακομιστή για λήψη extra εντολών. Οι οδηγίες που αποστέλλονται από τον διακομιστή επεκτείνουν τη λειτουργικότητα του malware, επιτρέποντάς του να διαβάζει/γράφει αρχεία, να εκτελεί εντολές χρησιμοποιώντας το cmd.exe, να εκκινεί ένα reverse shell και να τερματίζει την λειτουργία του.
Η ομάδα TaxOff, που βρίσκεται πίσω από αυτή τη phishing καμπάνια, ταυτοποιήθηκε για πρώτη φορά τον Νοέμβριο του 2024 και φέρεται να στοχοποιεί ρωσικές κυβερνητικές υπηρεσίες με phishing emails που περιλαμβάνουν υποτιθέμενα οικονομικά ή νομικά έγγραφα. Το Trinper backdoor αποτέλεσε βασικό εργαλείο αυτών των επιθέσεων.
Δείτε επίσης: Η ευπάθεια Langflow εκμεταλλεύτηκε από το Flodrix Botnet
Περαιτέρω ανάλυση από την Positive Technologies αποκάλυψε ότι η καμπάνια είχε ξεκινήσει ήδη από τον Οκτώβριο 2024, με άλλη παραλλαγή phishing μηνύματος που περιείχε πρόσκληση σε διεθνές συνέδριο με θέμα την ασφάλεια. Σε αυτή την περίπτωση, το κακόβουλο payload διανεμόταν μέσω αρχείου ZIP που περιείχε Windows shortcut, το οποίο ενεργοποιούσε ένα PowerShell command. Αυτό, με τη σειρά του, παρέδιδε ένα έγγραφο δόλωμα μαζί με ένα loader για την εγκστάσταση του Trinper backdoor.
Σύμφωνα με τους ερευνητές, αυτές οι επιθέσεις εμφανίζουν εντυπωσιακές ομοιότητες με τη δραστηριότητα της γνωστής ομάδας Team46, προκαλώντας ερωτήματα για το εάν πρόκειται στην πραγματικότητα για την ίδια οντότητα που βρίσκεται πίσω και από τις δύο καμπάνιες.
Ενδεικτικό είναι πως ένα μήνα πριν, phishing emails που αποδίδονται στην Team46, υποδύθηκαν την τηλεπικοινωνιακή εταιρεία Rostelecom της Μόσχας, ειδοποιώντας παραλήπτες για δήθεν προγραμματισμένες διακοπές λειτουργίας. Τα μηνύματα αυτά περιείχαν αρχείο ZIP με συντόμευση Windows, η οποία ενεργοποιούσε PowerShell command που εγκαθιστούσε ένα κακόβουλο loader.
Δείτε επίσης: CISA Κατάλογος KEV: Προσθήκη ευπάθειας που επηρεάζει TP-Link routers
Συνοψίζοντας, οι παραπάνω επιθέσεις είναι ιδιαίτερα ανησυχητικές, και αυτό για αρκετούς λόγους:
1. Χρήση zero-day exploits
Η αξιοποίηση zero-day ευπαθειών (τη στιγμή που ξεκίνησαν οι επιθέσεις, μετά διορθώθηκε η ευπάθεια) δείχνει ότι η ομάδα έχει πρόσβαση σε εξαιρετικά προηγμένα εργαλεία, κάτι που συνήθως συνδέεται με κρατικά υποστηριζόμενους ή καλά χρηματοδοτούμενους φορείς.
2. Εξαιρετικά στοχευμένες καμπάνιες
Οι phishing επιθέσεις δεν είναι μαζικές, αλλά καλά μελετημένες και προσαρμοσμένες στο εκάστοτε θύμα (π.χ. προσκλήσεις σε συνέδρια, ψεύτικα emails από γνωστές εταιρείες όπως η Rostelecom). Αυτό μειώνει τις πιθανότητες εντοπισμού και αυξάνει την επιτυχία διείσδυσης.
3. Πολύπλοκο κακόβουλο λογισμικό
Το Trinper backdoor διαθέτει ισχυρές δυνατότητες: από καταγραφή πληκτρολογήσεων και συλλογή αρχείων έως απομακρυσμένη εντολή και εκτέλεση. Η τεχνική multithreading το κάνει πιο αποδοτικό και δυσκολότερο στον εντοπισμό.
4. Πιθανή στρατηγική επιμονής (persistence)
Η παραμονή στο σύστημα και η δυνατότητα αποστολής εντολών δείχνουν ότι ο τελικός στόχος δεν είναι μόνο η άμεση καταστροφή ή η κατασκοπεία, αλλά η μακροπρόθεσμη παρακολούθηση του θύματος.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Chrome zero-day επέτρεψε την ανάπτυξη του Trinper backdoor
https://www.secnews.gr/651322/chrome-zero-day-epetrepse-anaptiksi-trinper-backdoor/
Jun 18th 2025, 11:58
by Digital Fortress
Ένα κρίσιμο κενό ασφαλείας στο Google Chrome, το οποίο έχει πλέον επιδιορθωθεί, αξιοποιήθηκε ενεργά από την απειλητική ομάδα TaxOff για την ανάπτυξη ενός προηγμένου backdoor, με την ονομασία Trinper.
Η επίθεση εντοπίστηκε στα μέσα Μαρτίου 2025 από την Positive Technologies και σχετιζόταν με την ευπάθεια CVE-2025-2783 (βαθμολογία CVSS 8.3), που επέτρεπε την παράκαμψη του sandbox του Chrome. Το exploit χρησιμοποιήθηκε στο πλαίσιο phishing καμπάνιας, όπου ένα παραπλανητικό email υποδυόταν πρόσκληση στο φόρουμ Primakov Readings, οδηγώντας το θύμα σε κακόβουλο ιστότοπο που αξιοποιούσε την ευπάθεια για one-click εκμετάλλευση.
Η Google διόρθωσε το κενό ασφαλείας προς τα τέλη Μαρτίου, μετά από σχετική ειδοποίηση της Kaspersky, η οποία είχε ανιχνεύσει real-world επιθέσεις σε ρωσικούς οργανισμούς.
Δείτε επίσης: Η Veeam προειδοποιεί για νέα σοβαρή ευπάθεια στο VBR
Το backdoor Trinper, γραμμένο σε C++, διαθέτει προηγμένες δυνατότητες κατασκοπείας: κλοπή πληροφοριών συστήματος, καταγραφή πληκτρολογήσεων, συλλογή εγγράφων (.doc, .xls, .pdf κ.ά.) και επικοινωνία με C2 διακομιστή για λήψη extra εντολών. Οι οδηγίες που αποστέλλονται από τον διακομιστή επεκτείνουν τη λειτουργικότητα του malware, επιτρέποντάς του να διαβάζει/γράφει αρχεία, να εκτελεί εντολές χρησιμοποιώντας το cmd.exe, να εκκινεί ένα reverse shell και να τερματίζει την λειτουργία του.
Η ομάδα TaxOff, που βρίσκεται πίσω από αυτή τη phishing καμπάνια, ταυτοποιήθηκε για πρώτη φορά τον Νοέμβριο του 2024 και φέρεται να στοχοποιεί ρωσικές κυβερνητικές υπηρεσίες με phishing emails που περιλαμβάνουν υποτιθέμενα οικονομικά ή νομικά έγγραφα. Το Trinper backdoor αποτέλεσε βασικό εργαλείο αυτών των επιθέσεων.
Δείτε επίσης: Η ευπάθεια Langflow εκμεταλλεύτηκε από το Flodrix Botnet
Περαιτέρω ανάλυση από την Positive Technologies αποκάλυψε ότι η καμπάνια είχε ξεκινήσει ήδη από τον Οκτώβριο 2024, με άλλη παραλλαγή phishing μηνύματος που περιείχε πρόσκληση σε διεθνές συνέδριο με θέμα την ασφάλεια. Σε αυτή την περίπτωση, το κακόβουλο payload διανεμόταν μέσω αρχείου ZIP που περιείχε Windows shortcut, το οποίο ενεργοποιούσε ένα PowerShell command. Αυτό, με τη σειρά του, παρέδιδε ένα έγγραφο δόλωμα μαζί με ένα loader για την εγκστάσταση του Trinper backdoor.
Σύμφωνα με τους ερευνητές, αυτές οι επιθέσεις εμφανίζουν εντυπωσιακές ομοιότητες με τη δραστηριότητα της γνωστής ομάδας Team46, προκαλώντας ερωτήματα για το εάν πρόκειται στην πραγματικότητα για την ίδια οντότητα που βρίσκεται πίσω και από τις δύο καμπάνιες.
Ενδεικτικό είναι πως ένα μήνα πριν, phishing emails που αποδίδονται στην Team46, υποδύθηκαν την τηλεπικοινωνιακή εταιρεία Rostelecom της Μόσχας, ειδοποιώντας παραλήπτες για δήθεν προγραμματισμένες διακοπές λειτουργίας. Τα μηνύματα αυτά περιείχαν αρχείο ZIP με συντόμευση Windows, η οποία ενεργοποιούσε PowerShell command που εγκαθιστούσε ένα κακόβουλο loader.
Δείτε επίσης: CISA Κατάλογος KEV: Προσθήκη ευπάθειας που επηρεάζει TP-Link routers
Συνοψίζοντας, οι παραπάνω επιθέσεις είναι ιδιαίτερα ανησυχητικές, και αυτό για αρκετούς λόγους:
1. Χρήση zero-day exploits
Η αξιοποίηση zero-day ευπαθειών (τη στιγμή που ξεκίνησαν οι επιθέσεις, μετά διορθώθηκε η ευπάθεια) δείχνει ότι η ομάδα έχει πρόσβαση σε εξαιρετικά προηγμένα εργαλεία, κάτι που συνήθως συνδέεται με κρατικά υποστηριζόμενους ή καλά χρηματοδοτούμενους φορείς.
2. Εξαιρετικά στοχευμένες καμπάνιες
Οι phishing επιθέσεις δεν είναι μαζικές, αλλά καλά μελετημένες και προσαρμοσμένες στο εκάστοτε θύμα (π.χ. προσκλήσεις σε συνέδρια, ψεύτικα emails από γνωστές εταιρείες όπως η Rostelecom). Αυτό μειώνει τις πιθανότητες εντοπισμού και αυξάνει την επιτυχία διείσδυσης.
3. Πολύπλοκο κακόβουλο λογισμικό
Το Trinper backdoor διαθέτει ισχυρές δυνατότητες: από καταγραφή πληκτρολογήσεων και συλλογή αρχείων έως απομακρυσμένη εντολή και εκτέλεση. Η τεχνική multithreading το κάνει πιο αποδοτικό και δυσκολότερο στον εντοπισμό.
4. Πιθανή στρατηγική επιμονής (persistence)
Η παραμονή στο σύστημα και η δυνατότητα αποστολής εντολών δείχνουν ότι ο τελικός στόχος δεν είναι μόνο η άμεση καταστροφή ή η κατασκοπεία, αλλά η μακροπρόθεσμη παρακολούθηση του θύματος.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz