ช่องโหว่ Chrome Zero-Day ถูกใช้ในปฏิบัติการ ForumTroll
นักวิจัยจาก Kaspersky เปิดเผยว่าช่องโหว่ Zero-Day บน Google Chrome (CVE-2025-2783) ถูกใช้จริงในปฏิบัติการไซเบอร์ชื่อ “Operation ForumTroll” ที่เริ่มต้นเมื่อช่วงต้นปี 2025 โดยมีเป้าหมายเป็นองค์กรในรัสเซีย เช่น สื่อ มหาวิทยาลัย หน่วยงานวิจัย สถาบันการเงิน และหน่วยงานรัฐ
การโจมตีเริ่มจากอีเมลฟิชชิ่งที่แนบลิงก์เชิญให้เข้าร่วมงานประชุม Primakov Readings Forum ซึ่งเมื่อผู้ใช้เปิดลิงก์บนเบราว์เซอร์ Chromium เช่น Chrome หรือ Edge ระบบจะถูกติดตั้งมัลแวร์ทันทีผ่านช่องโหว่ดังกล่าว
Kaspersky ระบุว่าช่องโหว่นี้เป็น sandbox escape ใน Chrome ที่เปิดทางให้ผู้โจมตีสามารถรันโค้ดอันตรายบนระบบได้โดยไม่ต้องมีสิทธิ์พิเศษ
เบื้องหลังการโจมตีเชื่อมโยงถึง Memento Labs
จากการตรวจสอบเพิ่มเติม นักวิจัยพบว่ามัลแวร์ที่ใช้ในการโจมตีคือ LeetAgent ซึ่งเป็นสปายแวร์แบบโมดูลาร์ (Modular Spyware) ที่สามารถ
- ดึงไฟล์ข้อมูล
- ดักจับคีย์บอร์ด (Keylogging)
- สั่งรันคำสั่งระยะไกล
- และขโมยข้อมูลผู้ใช้ได้
LeetAgent ยังถูกพบว่าใช้ “leetspeak” ในการสื่อสารคำสั่งภายในโค้ด เพื่อหลบการตรวจจับจากระบบรักษาความปลอดภัย
สิ่งที่น่าสนใจคือ Kaspersky พบว่ามัลแวร์นี้เคยถูกใช้ตั้งแต่ปี 2022 ในการโจมตีองค์กรในรัสเซียและเบลารุส ซึ่งในบางกรณี LeetAgent ทำหน้าที่เป็นตัวติดตั้งสปายแวร์อีกตัวหนึ่งชื่อ “Dante”
Memento Labs คือใคร?
Memento Labs เป็นบริษัทสปายแวร์จากอิตาลีที่เกิดขึ้นหลังจากบริษัท InTheCyber Group เข้าซื้อกิจการของ Hacking Team ในปี 2019
Hacking Team เป็นที่รู้จักในฐานะผู้พัฒนาเครื่องมือสอดแนม Remote Control System (RCS) ซึ่งขายให้หน่วยงานความมั่นคงทั่วโลก แต่หลังจากถูกแฮกในปี 2015 และมีข้อมูลการขายให้กับรัฐบาลเผด็จการรั่วไหลออกมา ชื่อเสียงของบริษัทก็ย่อยยับลง
ต่อมา InTheCyber Group นำเทคโนโลยีของ Hacking Team มาพัฒนาต่อเป็น Memento Labs และเปิดตัวสปายแวร์ “Dante” อย่างเป็นทางการในปี 2023 ระหว่างงาน ISS World Middle East and Africa
Kaspersky ระบุว่า Dante มีลักษณะการทำงานคล้ายกับ RCS เดิม คือเป็นสปายแวร์แบบโมดูลาร์ที่สามารถดาวน์โหลดส่วนประกอบเพิ่มเติมจากเซิร์ฟเวอร์ควบคุม (C2 Server) และจะลบตัวเองหากไม่ได้รับคำสั่งจากผู้ควบคุมภายในระยะเวลาที่กำหนด เพื่อปกปิดร่องรอย
การเชื่อมโยงกับ Chrome Zero-Day
ในกรณีของ Operation ForumTroll ช่องโหว่ CVE-2025-2783 ถูกใช้เป็นทางเข้าสู่ระบบ โดยเมื่อเหยื่อเปิดลิงก์ที่แนบมา มัลแวร์จะรัน shellcode เพื่อแทรกไฟล์ DLL อันตรายเข้าในระบบ และโหลด LeetAgent จากนั้นจะติดตั้ง Dante เพิ่มเติม
ถึงแม้ว่า Kaspersky จะสามารถยืนยันได้ว่ามัลแวร์ Dante และ LeetAgent มีความเชื่อมโยงกับ Memento Labs แต่ยังไม่สามารถระบุได้แน่ชัดว่าผู้พัฒนาช่องโหว่ Chrome ตัวนี้เป็นหน่วยเดียวกันหรือไม่
Google และ Mozilla ปล่อยแพตช์อุดช่องโหว่แล้ว
Google ได้อัปเดต Chrome เวอร์ชัน 134.0.6998.178 เมื่อวันที่ 26 มีนาคม 2025 เพื่ออุดช่องโหว่ CVE-2025-2783 ส่วน Mozilla Firefox ก็ได้รับการแก้ไขในเวอร์ชัน 136.0.4 โดยระบุรหัสช่องโหว่เป็น CVE-2025-2857
ผู้ใช้ทุกคนควรอัปเดตเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อป้องกันความเสี่ยงจากการถูกโจมตี
สรุป
ปฏิบัติการ ForumTroll ถือเป็นอีกหนึ่งตัวอย่างของการโจมตีทางไซเบอร์ที่ซับซ้อนและมีเป้าหมายเจาะจง ซึ่งผูกโยงไปถึงบริษัทสปายแวร์ระดับโลกอย่าง Memento Labs จากอิตาลี ที่มีประวัติความเกี่ยวข้องกับ Hacking Team มาก่อน
แม้ช่องโหว่ใน Chrome จะถูกปิดไปแล้ว แต่เหตุการณ์นี้ตอกย้ำว่าการอัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอเป็นสิ่งจำเป็นอย่างยิ่ง เพราะแม้แต่บริษัทเทคโนโลยีรายใหญ่ก็ยังตกเป็นเป้าของการโจมตีที่อาศัยช่องโหว่ Zero-Day
ที่มา: bleepingcomputer
