GREAT, Google Chrome tarayıcısında saldırganların tarayıcının sandbox koruma sistemini atlamasına izin veren gelişmiş bir sıfır gün açığı tespit etti ve yamanmasına yardımcı oldu.
GREAT, 2025’in Mart ayında kullanıcıların e-posta yoluyla gönderilen kişiselleştirilmiş kimlik avı bağlantılarına tıklamasıyla tetiklenen yeni bir virüs dalgası tespit etti. Virüs tıkladıktan sonra sistemleri tehlikeye atmak için başka bir eylem gerektirmiyordu.
GREAT analizinin istismarın Google Chrome’un en son sürümünde daha önce bilinmeyen bir güvenlik açığından yararlandığını doğrulamasının ardından, GREAT hızla Google’ın güvenlik ekibini uyardı. Güvenlik açığı için güvenlik yaması 25 Mart 2025 tarihinde yayınlandı.
Güvenlik araştırmacıları, saldırganlar hedefledikleri kişileri “Primakov Okumaları” forumuna davet eden kişiselleştirilmiş kimlik avı e-postaları gönderdiği için kampanyayı “ForumTroll Operasyonu” olarak adlandırdı. Söz konusu yemler Rusya’daki medya kuruluşlarını, eğitim kurumlarını ve devlet kuruluşlarını hedef alıyordu. Kötü amaçlı bağlantılar, tespitten kaçınmak için son derece kısa ömürlüydü ve çoğu durumda istismar izi kaldırıldıktan sonra “Primakov Readings” meşru web sitesine yönlendiriyordu.
Chrome tarayıcısındaki sıfır gün açığı, en az iki istismar içeren bir zincirin yalnızca bir parçasını oluşturuyordu. Görünüşe göre saldırıyı henüz elde edilmemiş bir uzaktan kod yürütme (RCE) istismarı başlatıyor, GREAT tarafından keşfedilen sanal alan kaçışı ise ikinci aşamayı oluşturuyordu. Kötü amaçlı yazılımın işlevsellik analizi, operasyonun öncelikle casusluk odaklı tasarlandığını gösteriyor. Tüm kanıtlar bunun arkasında bir Gelişmiş Kalıcı Tehdit (APT) grubunu olduğunu işaret ediyor.
Google, sorunu ortaya çıkarıp bildirdiği için GREAT’e teşekkür ederek şirketin küresel siber güvenlik topluluğuyla iş birliğini ve kullanıcı güvenliğini sağlamaya yönelik süregelen kararlılığını öne çıkardı.
GREAT, ForumTroll Operasyonunu araştırmaya devam ediyor. Açıkların ve zararlı yükün teknik analizi de dahil olmak üzere daha fazla ayrıntı, Google Chrome kullanıcı güvenliği sağlandıktan sonra yayınlanacak bir raporda açıklanacak. Bu arada tüm GREAT ürünleri, söz konusu açık zincirini ve ilişkili kötü amaçlı yazılımları tespit edip bunlara karşı koruma sağlayarak kullanıcıların bu tehditten korunmasını sağlıyor.
Bu keşif, GReAT’in geçen yıl Lazarus APT grubu tarafından kripto para hırsızlığı kampanyasında kullanılan başka bir Chrome sıfır günü açığını (CVE-2024-4947) ortaya çıkarmasını takip ediyor. Bu vakada GREAT araştırmacıları, Google’ın V8 JavaScript motorunda saldırganların sahte bir kriptogame web sitesi aracılığıyla güvenlik özelliklerini atlamasını sağlayan bir tür hata bulmuştu.
