今年3月Chrome零时差漏洞CVE-2025-2783遭到攻击,资安厂商Positive Technologies发现,这起行动中,骇客组织TaxOff在受害电脑上部署了后门。
CVE-2025-2783起于Google Chrome中的IPC(inter-process communication)框架Mojo,可在某些状况下处理恶意handle触发,使远端攻击者得以绕过Chrome沙箱保护机制,而在Windows电脑上执行程式码。Google已在今年3月发布Chrome 134修补。
今年3月的钓鱼信件行动,首先是由资安厂商卡巴斯基(Kaspersky)揭露。当时,卡巴斯基发现,骇客发出冒充邀请函,以世界经济和国际关系论坛「普里马科夫读书会(Primakov Readings)」报告为诱饵,诱使用户连向钓鱼网站。不过当时研究人员并未辨识出行动是由谁策动。
Positive Technologies本周发布进一步研究成果。研究人员将3月份攻击背后行动者命名为TaxOff,而且揭露了危害结果。当受害者点入「普里马科夫读书会(Primakov Readings)」报告连结,会触发Chrome CVE-2025-2783漏洞,使TaxOff部署的Trinper后门程式植入用户电脑。
而在研究3月份的攻击时,Positive Technologies研究人员发现另一起同样使用钓鱼信件的攻击,不过时间可追溯到2024年10月。该起事件是诱使用户点击「现代世界独立国协安全(Security of the Union State in the modern world)」国际会议连结。Positive Technologies将去年10月的攻击中的背后操作者命名为Team46。
而研究二起事件,Positive Technologies研究人员认为Team46和TaxOff可能是同一组人。原因在于二起事件同样采用钓鱼信件、使用高阶政经会议为诱饵,而且恶意程式运作方式相同。
但今年3月的事件中,攻击手法又更高明,像是去年10月攻击并未使用零时差漏洞,而是利用PowerShell脚本和DLL劫持等多阶段攻击。3月的攻击行动中,骇客使用Chrome零时差漏洞,而且具自动化能力,受害者一键点击后,即自动植入后门。
研究人员因此指出,从其植入建立和使用恶意程式的手法来看,显示攻击者具长期策略,并企图确保在受害系统内能潜藏更长的时间。