0-day в Chrome использовалась в APT-атаках на организации в России

0-day в Chrome использовалась в APT-атаках на организации в России

0-day в Chrome использовалась в APT-атаках на организации в России

В марте 2025 года сотрудники российских СМИ, образовательных учреждений и государственных организаций стали жертвами целевой кибератаки, получившей название «Операция Форумный тролль». Злоумышленники использовали 0-day в браузере Google Chrome.

Попытки заражения устройств сложным вредоносом зафиксировали в «Лаборатории Касперского».

Об одной из обнаруженных уязвимостей — CVE-2025-2783 — специалисты оперативно сообщили разработчикам Chrome. 25 марта 2025 года вышел соответствующий патч.

В атаке применяли социальную инженерию: потенциальные жертвы получали письма с приглашением принять участие в форуме «Примаковские чтения» — якобы от его организаторов.

В письмах содержались персонализированные ссылки. При переходе по такому URL в браузере Chrome (или любом другом на базе Chromium) происходило автоматическое заражение системы без необходимости дополнительных действий со стороны пользователя.

По данным специалистов из глобального центра исследований и анализа угроз Kaspersky GReAT, в ходе атаки применялся эксплойт для 0-day, позволяющий выйти за пределы «песочницы» браузера.

Уязвимость CVE-2025-2783 была связана с логической ошибкой во взаимодействии между компонентами «песочницы» и операционной системой Windows. Этот механизм позволял обойти защиту браузера незаметно для пользователя.

Исследователи отмечают высокий уровень подготовки киберпреступников и полагают, что атака могла быть организована одной из спонсируемых государством APT-групп. По словам эксперта Kaspersky GReAT Бориса Ларина, применённый в атаке эксплойт — один из самых сложных из когда-либо изученных командой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар запустила Solar DNS Radar для защиты от атак через DNS

Группа компаний «Солар» объявила о запуске сервиса Solar DNS Radar, который анализирует исходящий трафик и блокирует подключения к фишинговым доменам и серверам управления хакеров. По сути, это позволяет останавливать кибератаки ещё на раннем этапе — до того, как они успеют нанести ущерб.

По данным центра Solar 4RAYS, около 89% атак проходит именно через DNS-протокол — ту самую систему, которая сопоставляет адрес сайта с IP-адресом сервера.

Злоумышленники используют эту особенность, чтобы перенаправлять пользователей на поддельные сайты или поддерживать связь с вредоносами внутри инфраструктуры.

Solar DNS Radar в реальном времени фильтрует DNS-запросы, выявляет подозрительную активность и блокирует соединения с фишинговыми ресурсами, серверами управления (C2), доменами сгенерированными алгоритмами (DGA) и другими источниками, связанными с APT-группами. Кроме того, сервис можно использовать для ограничения доступа сотрудников к нежелательным сайтам.

В работе решения используются несколько подходов:

  • блокировка доступа к недавно зарегистрированным доменам (Zero Trust),
  • данные о киберугрозах из сервиса Solar TI Feeds,
  • аналитика сенсоров «Ростелекома» и телеметрия сервисов Solar JSOC,
  • результаты расследований Solar 4RAYS,
  • алгоритмы ИИ для точного распознавания атак и снижения ложных срабатываний.

Сервис доступен в трёх вариантах: как облачное решение (SaaS), как управляемый сервис с настройкой от специалистов «Солара» (MSS) или как локальная установка (on-prem) на стороне заказчика.

По словам разработчиков, Solar DNS Radar может быть полезен и небольшим компаниям, которые только начинают выстраивать процессы безопасности, и крупным организациям, которым важно разгрузить SOC и быстро закрыть «серые зоны» в инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru