ثغرة يوم الصفر CVE-2025-2783 في جوجل كروم: كيف استغلها TaxOff لنشر Trinper

كشفت شركة “Positive Technologies” عن ثغرة أمنية خطيرة في متصفح Google Chrome استُغلت بنشاط من قبل جهة تهديد تُعرف باسم TaxOff لنشر باب خلفي يحمل الاسم الرمزي Trinper. تم رصد الهجوم لأول مرة في منتصف مارس 2025، وتبيّن أن الهجوم استغل ثغرة تجاوز آلية العزل (sandbox escape) تم تتبعها تحت الرمز CVE-2025-2783، وهي ثغرة مصنفة بخطورة عالية (درجة CVSS: 8.3).

قامت جوجل بإصلاح الثغرة في وقت لاحق من نفس الشهر، بعد أن أبلغت شركة Kaspersky عن استغلالها في حملة أُطلق عليها اسم Operation ForumTroll، والتي استهدفت منظمات روسية مختلفة.

🛠️ مسار الهجوم: من رسالة تصيد إلى سيطرة كاملة

أوضح الباحثان ستانيسلاف بيجوف وفلاديسلاف لونين أن الهجوم بدأ برسالة تصيد إلكتروني تحمل رابطًا خبيثًا:

“عند نقر الضحية على الرابط، يتم تفعيل استغلال مباشر عبر نقرة واحدة يستغل الثغرة CVE-2025-2783، مما يؤدي إلى تثبيت باب خلفي Trinper الذي تستخدمه TaxOff.”

تم تمويه رسالة التصيد كدعوة لحضور منتدى “قراءات بريماكوف” – وهو الطُعم نفسه الذي وثقته كاسبرسكي – وتحتوي على رابط مزيف يُوجه الضحية إلى موقع يُخزن أداة الاستغلال.

💻 الباب الخلفي Trinper: قدرات عالية وشفرة معقدة

تم تطوير Trinper باستخدام لغة C++ ويعتمد على التنفيذ المتعدد للخيوط (Multithreading). من بين وظائفه:

• جمع معلومات النظام المستهدف

• تسجيل ضغطات المفاتيح

• جمع الملفات ذات الامتدادات: .doc, .xls, .ppt, .rtf, .pdf

• الاتصال بخادم تحكم (C2) لاستلام الأوامر ورفع النتائج

تشمل الأوامر الواردة من خادم C2:

أشار لونين إلى أن:

“ميزة Multithreading تتيح درجة عالية من التوازي لإخفاء نشاط الباب الخلفي، مع الحفاظ على قدرته على جمع وتسريب البيانات، وتثبيت وحدات إضافية، والحفاظ على الاتصال بخادم التحكم.”

اقرأ أيضًا...

• What Is IaaS? Infrastructure as a Service Explained (2025 Guide)
• Cloud Cost Optimization Strategies in 2025 – Save More on AWS, Azure & GCP
• تهديدات غير معروفة تستهدف خوادم Microsoft Exchange باستخدام أكواد Keylogger خبيثة
• مشروع الهيدروجين الأخضر في ناميبيا يثير جدلاً واسعًا بين الموروث التاريخي والتحديات البيئية
• Daft: محرك جديد يعيد تعريف معالجة البيانات غير المهيكلة في عصر الذكاء الاصطناعي

سلسلة هجمات تعود إلى عام 2024

كشفت التحقيقات أن هناك هجومًا مشابهًا حدث في أكتوبر 2024 وبدأ برسالة تصيد تدّعي أنها دعوة لمؤتمر أمني دولي بعنوان “أمن دولة الاتحاد في العالم الحديث”.

تفاصيل الهجوم:

• الرابط في الرسالة حمّل ملفًا مضغوطًا (ZIP) يحتوي على اختصار Windows (LNK)

• الاختصار شغّل أمر PowerShell الذي:

  • عرض مستندًا مخادعًا

  • أسقط محملًا (loader) شغّل Trinper باستخدام أداة Donut مفتوحة المصدر

• نُسخة أخرى من الهجوم استخدمت Cobalt Strike بدلًا من Donut

لاحظ الباحثون أن هذه السلسلة من الهجمات تتقاطع تكتيكيًا مع هجمات مجموعة أخرى تُعرف باسم Team46، مما يشير إلى احتمال كبير أن تكون المجموعتان كيانًا واحدًا.

هجمات تصيد باسم Rostelecom

في فبراير 2024، أرسلت مجموعة Team46 رسائل تصيد باسم شركة الاتصالات الروسية Rostelecom، تحتوي على ملفات ZIP تضم اختصارات تُشغّل أوامر PowerShell لتثبيت باب خلفي مختلف استُخدم في الهجوم على شركة روسية عاملة في مجال الشحن بالسكك الحديدية.

استغلال ثغرة Yandex كـ Zero-Day

في مارس 2024، وثقت شركة Doctor Web هجومًا استغل ثغرة CVE-2024-6473 في Yandex Browser لأنظمة ويندوز عبر أسلوب اختطاف مكتبة DLL، مما سمح بتحميل برمجية خبيثة غير محددة. تم تصحيح الثغرة في النسخة 24.7.1.380 الصادرة في سبتمبر 2024.

تحليل الباحثين:

“تعتمد هذه المجموعة على استغلال ثغرات يوم الصفر، مما يمكنها من اختراق البنى التحتية الآمنة بكفاءة. كما تطور وتستخدم برمجيات خبيثة معقدة، مما يشير إلى وجود استراتيجية طويلة الأمد تهدف إلى الحفاظ على تواجد دائم داخل الأنظمة المُخترقة.”