كشف باحثون في الأمن السيبراني عن حملة هجومية متقدمة استغلت ثغرة “يوم الصفر” في متصفح Google Chrome، والتي تم تتبعها تحت المعرف CVE-2025-2783، وذلك لنشر باب خلفي متطور يحمل الاسم الرمزي Trinper، من قبل جهة تهديد تُعرف باسم TaxOff.
الهجوم، الذي رُصد في منتصف مارس 2025 بواسطة شركة Positive Technologies، استغل ثغرة في آلية العزل الآمن (sandbox escape) في متصفح كروم، والتي حصلت على تقييم 8.3 على مقياس CVSS.
وقد أغلقت غوغل الثغرة في وقت لاحق من نفس الشهر، بعد أن أبلغت شركة Kaspersky عن استخدامها الفعلي في هجمات ميدانية ضمن حملة تُعرف باسم عملية ForumTroll، والتي استهدفت مؤسسات روسية.
وأوضح الباحثان ستانيسلاف بيزهوف وفلاديسلاف لونين أن الهجوم بدأ برسالة تصيّد إلكتروني تحتوي على رابط خبيث. وعند نقر الضحية على الرابط، يتم تنفيذ استغلال مباشر للثغرة (بنقرة واحدة)، ما يؤدي إلى تثبيت الباب الخلفي Trinper.
الرسائل الاحتيالية انتحلت هوية دعوات لحضور منتدى Primakov Readings – وهي وسيلة تم رصدها سابقًا من قبل Kaspersky – ووجهت الضحايا إلى موقع وهمي يستضيف كود الاستغلال.
من هي TaxOff؟
ظهرت TaxOff على الرادار لأول مرة في نوفمبر 2024، عندما وثقت كاسبرسكي أن المجموعة تستهدف جهات حكومية روسية باستخدام رسائل تصيد ذات طابع قانوني ومالي، لتوزيع باب خلفي مكتوب بلغة ++C يُعرف باسم Trinper.
هذا الباب الخلفي يستغل إمكانيات المعالجة متعددة الخيوط (Multithreading) لجمع معلومات النظام، وتسجيل ضغطات المفاتيح، وسرقة ملفات ذات امتدادات محددة ، بالإضافة إلى فتح قناة اتصال مع خادم تحكم وسيطرة (C2) لتلقي الأوامر وتنفيذها وتسريب نتائجها.
وظائف Trinper المتقدمة تشمل:
-
قراءة وكتابة الملفات
-
تنفيذ أوامر عبر cmd.exe
-
تشغيل shell عكسي
-
التنقل بين المجلدات
-
حذف نفسه تلقائيًا لتغطية آثاره
وقال لونين:
“الاعتماد على Multithreading يمنح Trinper قدرة عالية على العمل بشكل متوازي وسري، مع الحفاظ على قدرة التسلل وجمع البيانات وتثبيت وحدات إضافية.”
سلسلة هجمات متطورة
أشارت Positive Technologies إلى اكتشاف هجوم سابق يعود إلى أكتوبر 2024 بنفس الطريقة، بدأ أيضًا برسالة تصيّد تدّعي دعوتها لمؤتمر دولي بعنوان “أمن دولة الاتحاد في العالم المعاصر”. وقد تضمنت الرسالة رابطًا يؤدي إلى تنزيل أرشيف ZIP يحتوي على اختصار Windows يقوم بتشغيل أمر PowerShell يخدع المستخدم بوثيقة وهمية بينما ينفذ محملًا لتثبيت Trinper، باستخدام أداة Donut مفتوحة المصدر. في بعض الحالات، تم استبدال أداة Donut بأداة Cobalt Strike الأكثر تطورًا.
وتبيّن أن هذه السلسلة تتقاطع تكتيكيًا مع أنشطة مجموعة تهديد تُعرف باسم Team46، ما يثير احتمالية أن تكون المجموعتان في الواقع جهة واحدة.
ارتباط بـ Yandex وقطاع الاتصالات
وجد الباحثون أيضًا أن Team46 أرسلت رسائل تصيّد انتحلت صفة شركة الاتصالات الروسية Rostelecom، وحذّرت من انقطاعات مزعومة في الخدمة، مستهدفة الضحايا بأرشيف ZIP يحتوي على ملف اختصار يُطلق أمر PowerShell لتثبيت باب خلفي استُخدم سابقًا في اختراق شركة روسية غير مسمّاة في قطاع الشحن بالسكك الحديدية.
في هجوم منفصل في مارس 2024، استخدم المهاجمون ثغرة يوم الصفر في متصفح Yandex على نظام Windows (CVE-2024-6473 – بدرجة 8.4 CVSS) لتثبيت برمجيات خبيثة غير محددة. وقد تم تصحيح هذه الثغرة في إصدار المتصفح 24.7.1.380 في سبتمبر 2024.
