APT
Наши эксперты из глобального центра исследований (Kaspersky Global Research and Analysis Team, GReAT) реконструировали цепочку заражения, применяемую в атаках APT-группы ForumTroll. В ходе изучения они выяснили, что инструменты, которые используются Троллями, также применялись для распространения коммерческого вредоносного ПО Dante. Борис Ларин подробно рассказал об этом исследовании на конференции Security Analyst Summit 2025 в Таиланде.
Что такое ForumTroll и как они действуют
В марте наши технологии выявили волну заражений российских компаний ранее неизвестным сложным вредоносным ПО. В атаках использовались короткоживущие веб-страницы, эксплуатировавшие уязвимость нулевого дня CVE-2025-2783 в браузере Google Chrome. Злоумышленники рассылали сотрудникам СМИ, государственных, образовательных и финансовых учреждений в России письма с предложением принять участие в научно-экспертном форуме «Примаковские чтения», поэтому кампания получила звучное название «Форумный тролль», а стоящая за ней группа — ForumToll. При переходе по ссылке из письма устройство заражалось зловредом. Используемое атакующими вредоносное ПО было названо LeetAgent, поскольку принимало команды от сервера управления на языке Leet.
После публикации эксперты GReAT продолжили исследовать активность Троллей. В частности, нашли еще несколько атак той же группы на организации и частных лиц в России и Беларуси. Кроме того, при поиске атак, в которых использовался LeetAgent, они обнаружили случаи применения другого, гораздо более сложного вредоносного ПО.
Что такое Dante и при чем тут HackingTeam
Найденный зловред имеет модульную структуру, использует шифрование модулей с уникальными для каждой жертвы ключами, а при отсутствии команд со стороны сервера управления через некоторое время самоуничтожается. Но самое интересное — нашим исследователям удалось идентифицировать его как коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs, ранее известной как HackingTeam.
HackingTeam были одними из пионеров коммерческого шпионского ПО. Но в 2015 году инфраструктура компании была взломана, и изрядная часть их внутренней документации, включая исходные коды коммерческого шпионского ПО, была опубликована. После этого компания была продана и переименована в Memento Labs.
Подробнее о том, что умеет Dante и по каким признакам наши эксперты поняли, что это именно оно, можно прочитать в блоге Securelist. Там же можно найти и соответствующие индикаторы компрометации.
Как оставаться в безопасности
Изначально атаки с использованием LeetAgent были обнаружены при помощи нашего XDR-решения. Кроме того, детали этого исследования, равно как и информация о группе ForumTroll и шпионском ПО Dante, которую мы получим в будущем, будут доступны подписчикам нашего сервиса по предоставлению данных об APT-угрозах на Threat Intelligence Portal.
Советы