谷歌:黑客利用零日漏洞監控 iPhone、Android 用戶
近日,谷歌的威脅分析小組 (TAG) 發現了兩個具有高度針對性的移動間諜軟件活動,它們使用零日漏洞針對 iPhone 和 Android 智能手機用戶部署監控軟件。
Google TAG 發現了兩個針對移動設備上的 Android、iOS 和 Chrome 用戶的“不同的、有限的和高度針對性的”活動。這些活動使用零日和 N日漏洞,利用供應商發布漏洞修復程序和硬件制造商使用這些補丁更新最終用戶設備之間的時間,為未打補丁的平臺創建漏洞。
這些發現凸顯了供應商和最終用戶及時修補軟件以防止惡意行為者利用已知漏洞的重要性。這些活動還表明,監控軟件供應商共享漏洞和技術,以促進具有潛在危險的黑客工具的擴散。
第一個活動(CVE-2022-42856;CVE-2022-4135)分別針對 15.1 之前的 iOS 和 Android 版本,以及運行 106 之前的 Chrome 版本的 ARM GPU。
此類攻擊活動中的攻擊負載包括一個簡單的 stager,它可以回測設備的 GPS 位置,并允許攻擊者將 .IPA 文件安裝到受影響的手機上,該文件可用于竊取信息。
該活動針對 Android 和 iOS 設備,初始訪問嘗試通過 Bit.ly URL 短鏈接通過短信發送給位于以下三個國家/地區的用戶:
- 意大利
- 馬來西亞
- 哈薩克斯坦。
第二個活動(CVE-2022-4262;CVE-2023-0266)包括使用零日和 n 日的完整漏洞利用鏈,目標是三星互聯網瀏覽器的最新版本。
此類攻擊活動的有效載荷是一個基于 C++ 的“功能齊全的 Android 間諜軟件套件”,其中包括用于解密和捕獲來自各種聊天和瀏覽器應用程序的數據的庫。
谷歌研究人員懷疑,涉案人員可能是商業間諜軟件供應商 Variston 的客戶、合作伙伴或其他密切關聯方。
值得注意的是,據Hackread.com去年報道,Variston 是一家總部位于巴塞羅那的公司,被谷歌 TAG 曝光,利用 Chrome、Firefox 和 Microsoft Defender 中的 n-day 漏洞,冒充定制網絡安全解決方案提供商。
來自針對意大利用戶的惡意網站之一的示例屏幕截圖(來源:谷歌)
TAG 積極跟蹤商業間諜軟件供應商,目前正在觀察 30 多家,并確定出售給國家支持的參與者的漏洞利用或監視功能。這些危險的黑客工具為政府提供了他們無法在內部開發的監視能力。
這些工具,包括間諜軟件,經常被用來針對持不同政見者、記者、人權工作者和反對黨政客,構成危及生命的風險。
盡管根據大多數國家或國際法律,監視技術的使用通常是合法的,但政府濫用這些法律和技術來針對不符合其議程的個人。
自從政府濫用NSO Group 的 Pegasus 移動間諜軟件針對 iPhone 用戶的行為受到國際關注后,監管機構和供應商一直在打擊商業間諜軟件的生產和使用。
3 月 28 日,拜登政府發布了一項行政命令,限制聯邦政府使用商業監控工具,但谷歌的調查結果表明,這些努力并未阻止商業間諜軟件的出現。
必須加強有關商業間諜軟件生產和使用的法規,以確保它們不會被用于侵犯個人基本權利的目標。
這些發現表明,那些創建漏洞的人正在密切關注他們可以為邪惡目的利用的漏洞,并且很可能串通以最大限度地利用它們來破壞目標設備。
