Egy nemrégiben javított biztonsági rés, amely a Google Chrome-ban található, a TaxOff nevű kiberbűnözői csoport általi zero-day támadás célpontjává vált, lehetővé téve egy backdoor telepítését, melyet Trinper néven ismerünk. A támadást a Positive Technologies biztonsági kutatói figyelték meg 2025 márciusának közepén. A támadók a CVE-2025-2783 azonosítón nyomon követett magas, 8.3-as CVSS pontszámot elérő sandbox escape sebezhetőséget használták ki, amely lehetővé tette a támadók számára, hogy megszerezzék a célzott rendszert.
A támadás mechanizmusa
A támadás során a támadók phishing (adathalász) e-maileket használtak elsődleges támadási vektorként. A támadó e-mailek egy álcázott meghívót tartalmaztak a Primakov Readings fórumra (az e-mail tartalmát szintén hamisították) ahogyan azt a Kaspersky jelentése is írja. Az e-mailben szereplő hivatkozás a támadott felhasználókat egy hamis weboldalra irányította, amely sérülékeny volt. Miután a célpont rákattintott a linkre, a sérülékeny weblapot kihasználva Trinper települt a rendszerre. Ez a backdoor lehetővé tette a TaxOff hackercsoport számára, hogy a célzott rendszereket folyamatos kontroll alatt tartsák és adatokat szivárogtassanak ki róluk.
A TaxOff csoport és a Trinper backdoor
A TaxOff hackercsoportot a Kaspersky először 2024 novemberében dokumentálta, amikor az orosz kormányzati ügynökségek ellen indítottak célzott támadásokat. A támadások során jogi és pénzügyi témájú adathalász e-maileket használtak fel a Trinper backdoor telepítésére. A Trinper C++ nyelven íródott és multithreading technológiát alkalmaz, amely lehetővé teszi a párhuzamos működést, így a backdoor elrejtése mellett a támadók képesek voltak adatokat gyűjteni és kiszivárogtatni. A backdoor funkciók széles skáláját kínálja, például billentyűleütések rögzítését, fájlok begyűjtését meghatározott kiterjesztésekkel (.doc, .xls, .ppt, .rtf, .pdf), valamint a támadó szerverhez való kapcsolódást a parancsok végrehajtása és a végrehajtott parancsok eredményeinek kiszivárogtatása céljából. A Trinper backdoor ezen kívül képes fájlok olvasására/írására, parancsok futtatására a cmd.exe segítségével, valamint reverse shell létrehozására.
További támadások és hasonló taktikák
A Positive Technologies kutatói a 2025 márciusi támadást követően egy másik, 2024 októberi támadási láncot is felfedeztek. Ebben az esetben a támadások szintén adathalász e-mailek küldésével kezdődtek, amelyek egy nemzetközi konferenciára, a “Security of the Union State in the modern world” című eseményre invitálták a célzott személyeket. Az e-mailben szereplő link letöltött egy ZIP archívumot, amely egy Windows parancsikont tartalmazott. Ez egy PowerShell parancsot indított, miközben egy másik backdoor betöltését végezte el. Ezt az új támadási láncot hasonlóságok fűzik a Team46 nevű hackercsoport korábbi támadásaihoz, ami felveti annak lehetőségét, hogy a két csoport valójában egy és ugyan az. A Team46 támadások során gyakran használtak ZIP archívumokat és PowerShell alapú betöltőket, hogy backdoor-okat telepítsenek.
Összegzés és következtetések
A TaxOff hackercsoport támadásai rávilágítanak arra, hogy a csoport fejlett zero-day exploit-okat és kifinomult malware-eket alkalmaz annak érdekében, hogy hosszú távú jelenlétet biztosítson maga számára a célzott rendszerekben. Az általuk használt technológiák és módszerek azt mutatják, hogy a csoport nem csupán egy egyszeri támadásra törekszik, hanem folyamatos adatgyűjtésre és hosszú távú behatolásra is. Az ilyen típusú támadások megelőzése érdekében a szervezeteknek folyamatosan frissíteniük kell rendszereiket, figyelniük kell a phishing e-mailek jeleit, és szorosabb biztonsági intézkedéseket kell bevezetniük. A Kaspersky és a Positive Technologies kutatásai kiemelik, hogy a célzott támadások és a zero-day exploit-ok alkalmazása egyre gyakoribbá válik a nemzetközi kiberfenyegetések között, és ez a tendencia várhatóan továbbra is növekedni fog.