商業間諜軟件猖獗!去年底至少使用5個零日漏洞,安卓蘋果設備通殺
安全內參3月30日消息,谷歌威脅分析小組(TAG)發現多條利用Android、iOS及Chrome零日及N-day漏洞的利用鏈,可在目標設備上安裝商業間諜軟件與惡意應用程序。
第一起攻擊事件:
2個0day、3個n-day
在2022年11月發現的第一起惡意活動中,攻擊者通過不同漏洞利用鏈將矛頭指向iOS與Android用戶。
他們向受害者發送包含bit.ly短鏈接的短信,受害者點擊鏈接后,首先會被重定向到包含觸發濫用iOS WebKit遠程代碼執行零日漏洞(CVE-2022-42856)和沙盒逃脫(CVE-2021-30900)漏洞的頁面,然后再跳轉到意大利、馬來西亞和哈薩克斯坦等國的合法貨運網站。
在受感染的iOS設備上,惡意黑客投遞了有效載荷,以跟蹤受害者的GPS位置,并能夠安裝.IPA文件。
在這輪攻擊中,惡意黑客還使用Android漏洞利用鏈,攻擊了搭載ARM GPU的設備。其中使用了Chrome GPU沙箱繞過零日漏洞(CVE-2022-4135)、ARM權限提升漏洞(CVE-2022-38181)以及攜帶未知載荷的Chrome類型混淆漏洞(CVE-2022-3723)。
谷歌小組的Clément Lecigne表示,“在ARM發布針對CVE-2022-38181的修復程序后,谷歌Pixel、三星、小米、Oppo等多家手機廠商都沒有及時整合補丁,導致惡意黑客在接下來幾個月內仍可隨意利用該漏洞。”
第二起攻擊事件:
針對三星用戶,數個0day、2個n-day
2022年12月,谷歌小組的研究人員又發現第二起攻擊活動,利用多個零日與N-day漏洞攻擊了三星手機瀏覽器最新版本。
位于阿聯酋的受害者被短鏈接重定向到間諜軟件廠商Variston IT旗下Heliconia漏洞利用框架創建的頁面,其中使用了一系列漏洞,包括:
- CVE-2022-4262——Chrome類型混淆漏洞(當時屬零日漏洞);
- CVE-2022-3038——Chrome沙箱逃逸漏洞;
- CVE-2022-22706——可用于系統訪問的Mali GPU內核驅動程序漏洞,于2022年1月被修復(當時三星尚未發布修復固件);
- CVE-2023-0266——Linux內核聲音子系統條件競爭漏洞,可用于獲取內核讀寫訪問權限(當時屬零日漏洞);
- 在利用CVE-2022-22706和CVE-2023-0266的同時,該漏洞利用鏈還使用了其他多個內核信息泄露零日漏洞,比如ARM Mali信息泄露漏洞CVE-2023-26083。
最后,該漏洞利用鏈在受害者手機上成功部署了基于C++的Android間諜軟件套件,其中包括可從多個聊天及瀏覽器應用中解密和提取數據的庫。
Lecigne指出,這兩起攻擊均有很強的針對性,惡意黑客“利用了補丁發布與全面部署至最終用戶設備之間的巨大時間差。”
“這些攻擊活動可能還表明,間諜軟件供應商之間正在共享漏洞利用手段,致使危險的黑客工具四處擴散。”
這些漏洞利用鏈的發現,離不開國際人權組織安全實驗室分享的調查結果。相關組織還發布了攻擊中所使用的域和基礎設施的信息。
相關組織表示,“新近發現的間諜軟件活動至少自2022年起就一直保持活躍,目標主要為移動和桌面設備,包括谷歌Android操作系統的用戶。”
“該間諜軟件與零日攻擊已經在覆蓋1000多個惡意域的廣泛網絡中傳播,涉及多個國家/地區的欺詐網站域。”
商業間諜軟件正在蓬勃發展
谷歌小組發布的這份報告,也是網絡安全領域持續關注商業間諜軟件市場并跟蹤零日漏洞利用行為的一部分。目前,人權/政治活動家、記者、政治家及全球其他高風險用戶的脆弱設備都面臨著商業間諜軟件的威脅。
谷歌曾在2022年5月表示,他們正積極跟蹤30多家公開度不同、復雜水平各異的間諜軟件供應商,這些企業正在向各國政府資助的惡意黑客出售間諜工具的監控能力或漏洞利用信息。
2022年11月,谷歌小組的研究人員將Heliconia漏洞利用框架與西班牙軟件公司Variston IT聯系了起來。該框架主要針對Chrome、Firefox和Microsoft Defender中的漏洞。
谷歌還提到,2022年6月曾有互聯網服務供應商(ISP)幫助意大利間諜軟件廠商RCS Labs利用商業間諜工具,感染了意大利和哈薩克斯坦用戶的Android與iOS設備。
再往前一個月,谷歌小組揭露了另一起間諜活動,由國家資助的惡意黑客利用5個零日漏洞成功部署了由Cytrox公司開發的Predator間諜軟件。
