Un difetto di sicurezza ormai abbinato a Google Chrome è stato sfruttato come zero-day da un attore di minaccia noto come Taxoff per distribuire un nome in codice backdoor Trinper.
L’attacco, osservato a metà marzo 2025 da tecnologie optimistic, ha comportato l’uso di una vulnerabilità di fuga di sandbox tracciata come CVE-2025-2783 (punteggio CVSS: 8.3).
Google indirizzato Il difetto più tardi quel mese dopo che Kaspersky ha riportato uno sfruttamento in una campagna soprannominata Forumtroll operativa che mira a varie organizzazioni russe.
“Il vettore di attacco iniziale period un’e -mail di phishing contenente un hyperlink dannoso”, i ricercatori della sicurezza Stanislav Pyzhov e Vladislav Lunin disse. “Quando la vittima ha fatto clic sul hyperlink, ha attivato un exploit con un clic (CVE-2025-2783), portando all’installazione del backdoor del trinper impiegato da Taxoff.”
Si cube che l’e -mail di phishing sia stata mascherata come invito al discussion board di letture di Primakov – la stessa esca dettagliata da Kaspersky – esortando gli utenti a fare clic su un hyperlink che ha portato a un falso sito Internet che ospita lo sfruttamento.
Il taxoff è il nome assegnato a un Gruppo di hacking Ciò è stato documentato per la prima volta dalla società cybersecurity russa alla wonderful di novembre 2024 come focusing on per le agenzie governative interne che utilizzano e-mail di phishing legale e finanziaria per consegnare il trinper.
Scritto in C ++, il backdoor fa uso di multithreading per acquisire informazioni sull’host della vittima, registrare tasti, raccogliere file che corrispondono a estensioni specifiche (.doc, .xls, .ppt, .rtf e .pdf) e stabilire una connessione con un server remoto per ricevere comandi ed esfiltrare i risultati dell’esecuzione.
Le istruzioni inviate dal server di comando e controllo (C2) estendono la funzionalità dell’impianto, consentendole di leggere/scrivere file, eseguire comandi utilizzando cmd.exe, avvia una shell inversa, modifica la listing e arrestarsi.
“Il multithreading fornisce un alto grado di parallelismo per nascondere il backdoor mantenendo la possibilità di raccogliere ed esfiltrarsi, installare ulteriori moduli e mantenere comunicazioni con C2”, ha osservato Lunin in quel momento.
Constructive Applied sciences ha affermato che le sue indagini sull’intrusione di metà marzo del 2025 hanno portato alla scoperta di un altro attacco risalente all’ottobre 2024 che ha anche iniziato con un’e-mail di phishing, che pretendeva essere un invito a una conferenza internazionale chiamata “Sicurezza dello Stato dell’Unione nel mondo moderno”.
Il messaggio e-mail conteneva anche un hyperlink, che scaricava un file di archivio ZIP contenente un collegamento di Home windows che, a sua volta, lanciava un comando PowerShell per servire in definitiva un documento di esca, lasciando anche cadere un caricatore responsabile del lancio del backdoor del trinper per mezzo della supply aperta Ciambella caricatore. È stata trovata una variazione dell’attacco per scambiare il caricatore di ciambelle a favore di Cobalt Strike.
Questa catena di attacco, secondo la società, condivide numerous somiglianze tattiche con quella di un altro gruppo di hacking monitorato come Team46sollevando la possibilità che i due cluster di attività di minaccia siano la stessa cosa.
È interessante notare che un’altra serie di e-mail di phishing inviate dagli aggressori del Team46 un mese prima di dichiarare di essere l’operatore di telecomunicazione con sede a Mosca Rostelecom, avvisando i destinatari di presunte interruzioni di manutenzione lo scorso anno.
Queste e -mail includevano un archivio con zip, che incorporava un collegamento che lanciava un comando PowerShell per distribuire un caricatore che period stato precedentemente utilizzato per consegnare un’altra backdoor in un attacco che mirava a una società russa senza nome nel settore del trasporto ferroviario.
L’intrusione di marzo 2024, dettagliato Di Physician Internet, è notevole per il fatto che uno dei payload ha armato una vulnerabilità di hijacking DLL nel browser Yandex (CVE-2024-6473Punteggio CVSS: 8.4) come zero-day per scaricare ed eseguire malware non specificato. Period risolto Nella versione 24.7.1.380 rilasciata nel settembre 2024.
“Questo gruppo sfrutta gli exploit zero-day, che gli consentono di penetrare in infrastrutture sicure in modo più efficace”, hanno affermato i ricercatori. “Il gruppo crea e utilizza anche un sofisticato malware, il che implica che ha una strategia a lungo termine e intende mantenere la persistenza sui sistemi compromessi per un lungo periodo.”
