Operation ForumTroll: APT-Angriff über Zero-Day-Sicherheitslücke

Unsere Technologien zur Erkennung und Verhinderung von Exploits haben eine neue Welle von Cyberangriffen mit bisher unbekannter Malware entdeckt. Bei der Analyse haben unsere Experten des Global Research and Analysis Team (GReAT) festgestellt, dass es sich um einen technisch ausgefeilten, gezielten Angriff handelt. Das lässt vermuten, dass eine staatlich gesponserte APT-Gruppe dahinter steckt. Der Angriff nutzte eine Zero-Day- Sicherheitslücke im Chrome-Browser aus, die wir sofort an Google gemeldet haben; das Unternehmen hat daraufhin umgehend einen Patch veröffentlicht, um die Lücke zu schließen.

Worum handelt es sich beim APT-Angriff Operation ForumTroll??

Der Angriff beginnt mit einer E-Mail mit einer Phishing-Einladung zum internationalen Wirtschafts- und Politikwissenschaftlichen Forum Primakov Readings. Im Text der E-Mail befinden sich zwei Links, die vorgeben, zum Programm der Veranstaltung und zum Anmeldeformular für Teilnehmer zu führen. In Wirklichkeit führen sie jedoch auf die Website des Angreifers. Wenn ein Windows-PC-Benutzer mit dem Google Chrome-Browser (oder einem anderen Browser, der auf der Chromium-Engine basiert) auf diese Links klickt, wird sein Computer infiziert, ohne dass das Opfer etwas unternehmen muss.

Als Nächstes kommt der Exploit für die Sicherheitslücke CVE-2025-2783 ins Spiel, der dazu beiträgt, den Abwehrmechanismus des Chrome-Browsers zu umgehen. Es ist noch zu früh, um über technische Details zu sprechen, aber die Schwachstelle beruht im Wesentlichen auf einem Logikfehler an der Schnittstelle zwischen Chrome und dem Windows-Betriebssystem, der die Umgehung der Sandbox-Schutzmechanismen des Browsers ermöglicht

Eine etwas detailliertere technische Beschreibung des Angriffs sowie die Indikatoren der Kompromittierung finden Sie in unserem Securelist-Blog. Unsere GReAT-Experten werden eine gründliche technische Analyse der Sicherheitslücke und des APT-Angriffs veröffentlichen, sobald die Mehrheit der Browser-Nutzer den neu veröffentlichten Patch installiert hat.

Welche Personen sind die Ziele des APT-Angriffs Operation ForumTroll??

Gefälschte Veranstaltungseinladungen mit personalisierten Links wurden an russische Medienvertreter und Mitarbeiter von Bildungseinrichtungen verschickt. Nach Angaben unserer GReAT-Experten war das Ziel der Angreifer Spionage.

Wie kann man sich schützen?

Zum Zeitpunkt der Erstellung dieses Beitrags war der Angriff nicht mehr aktiv: Der Phishing-Link leitete die Benutzer auf die legitime Primakov Readings-Website um. Allerdings könnten die Angreifer den Mechanismus zur Verbreitung des Exploits jederzeit wieder aktivieren und die nächste Angriffswelle starten.

Dank der Analyse unserer Experten haben die Entwickler von Google Chrome die Sicherheitslücke CVE-2025-2783 heute umgehend behoben. Wir raten Ihnen daher, sicherzustellen, dass Ihr Unternehmen den Browser mindestens auf die Version 134.0.6998.177/.178 aktualisiert hat.

Darüber hinaus empfehlen wir die Verwendung von zuverlässigen Sicherheitslösungen, die mit modernen Technologien zur Erkennung und Verhinderung von Exploits auf allen mit dem Internet verbundenen Unternehmensgeräten ausgestattet sind. Unsere Produkte erkennen erfolgreich alle Exploits und andere Malware, die bei diesem APT-Angriff verwendet wurden.