以色列監控公司 Candiru 開發的間諜軟件利用最近修復的 CVE-2022-2294 Chrome 零日漏洞攻擊記者。

以色列監控公司 Candiru 開發的間諜軟件利用最近修復的 CVE-2022-2294 Chrome 零日漏洞攻擊記者。

防病毒公司 Avast 的研究人員報告說，由以色列監控公司Candiru開發的DevilsTongue間諜軟件被用于攻擊中東的記者，并利用了最近修復的 CVE-2022-2294 Chrome 零日漏洞。

該漏洞由谷歌于 2022 年 7 月 4 日修復，是位于 Web 實時通信 (WebRTC) 組件中的堆緩沖區溢出，這是谷歌在 2022 年修補的第四個零日漏洞。

Avast 研究人員發現的大多數攻擊都發生在黎巴嫩，攻擊者使用多個攻擊鏈來針對記者。自 2022 年 3 月以來，在土耳其、也門和巴勒斯坦也觀察到了其他感染病例。

在一個案例中，威脅行為者通過破壞新聞機構員工使用的網站進行了水坑攻擊。

研究人員注意到該網站包含與試圖利用 XSS 漏洞相關的工件。這些頁面包含對 Javascript 函數“alert”的調用以及“test”等關鍵字，這種情況表明攻擊者正在測試 XSS 漏洞，然后最終利用它從攻擊者控制的域中注入惡意 Javascript 的加載程序（即時尚區塊[.]com）。

該注入代碼用于通過攻擊者控制的一系列域將受害者路由到漏洞利用服務器。

一旦受害者登陸漏洞利用服務器，Candiru 開發的代碼就會收集目標系統的更多信息，并且只有當收集的數據滿足漏洞利用服務器時，漏洞才會用于傳遞間諜軟件。

“雖然該漏洞是專門為 Windows 上的 Chrome 設計的，但該漏洞的潛力要大得多。由于根本原因位于 WebRTC 中，因此該漏洞不僅影響了其他基于 Chromium 的瀏覽器（如 Microsoft Edge），還影響了不同的瀏覽器，如Apple 的 Safari。” 閱讀Avast 發布的分析。“我們不知道 Candiru 是否開發了針對 Windows 上的 Chrome 的漏洞，但他們有可能做到了。”

零日漏洞與沙盒逃逸漏洞相關聯，但由于惡意軟件實施的保護，專家無法恢復它。

在受害者的機器上站穩腳跟后，  DevilsTongue間諜軟件試圖通過利用另一個零日漏洞來提升其權限。惡意軟件  以 BYOVD  （自帶易受攻擊的驅動程序）方式針對合法簽名的內核驅動程序。為了利用驅動程序，必須首先將其放入文件系統（Candiru 使用路徑 ），專家指出這可以用作妥協的指標。 

C:\Windows\System32\drivers\HW.sys

“雖然我們無法確定 WebRTC 漏洞是否也被其他組織利用，但這是有可能的。有時零日漏洞會被多個團體獨立發現，有時有人將相同的漏洞/漏洞出售給多個團體，等等。但我們沒有跡象表明還有另一個團體在利用同一個零日漏洞。” 報告結束。

作者： 皮爾路易吉·帕格尼尼