Candiru間諜軟件利用谷歌Chrome Zero Day攻擊記者被抓獲

本月初曝光的谷歌Chrome zero day漏洞已被積極利用，但現已修復。該漏洞由一家以色列間諜軟件公司制成武器，用于針對中東記者的攻擊。

捷克網絡安全公司Avast將此次攻擊與Candiru（又名Saito Tech）聯系在一起，Candiru曾利用以前未知的漏洞部署一個名為魔鬼之歌，一種具有飛馬座功能的模塊化植入物。

Candiru與NSO Group、Computer Security Initiative Consultancy PTE.LTD.和Positive Technologies因參與“惡意網絡活動”于2021被美國商務部列入實體名單

“具體來說，大部分襲擊發生在黎巴嫩，那里的記者都是襲擊目標，”報告發現漏洞的安全研究員揚·沃伊特在一篇文章中說。“我們認為這些襲擊具有高度的針對性”。

問題中的漏洞是CVE-2022-2294，即谷歌瀏覽器WebRTC組件中的內存損壞，可能導致外殼代碼執行。谷歌在2022年7月4日解決了這個問題。蘋果和微軟在Safari和Edge瀏覽器中也解決了這個問題。

這些發現揭示了以色列黑客雇傭供應商發起的多次攻擊活動，據說該供應商在2022年3月帶著一個經過改進的工具集回來，通過使用谷歌Chrome零日漏洞的水坑攻擊，以黎巴嫩、土耳其、也門和巴勒斯坦的用戶為目標。

在黎巴嫩發現的感染序列始于攻擊者破壞一家新聞機構員工使用的網站，該網站用于從演員控制的域注入惡意JavaScript代碼，該域負責將潛在受害者重定向到攻擊服務器。

通過這種水坑技術，受害者瀏覽器的配置文件由大約50個數據點組成，其中包括語言、時區、屏幕信息、設備類型、瀏覽器插件、參考和設備內存等細節。

Avast評估了收集的信息，以確保漏洞僅被交付給預期目標。如果黑客認為收集的數據有價值，則零日攻擊將通過加密通道發送到受害者的機器。

雖然這種復雜的惡意軟件能夠記錄受害者的網絡攝像頭和麥克風、鍵盤記錄、過濾消息、瀏覽歷史記錄、密碼、位置等，但也有人觀察到它試圖通過安裝一個包含第三個零天漏洞的易受攻擊的簽名內核驅動程序（“HW.sys”）來升級其權限。

今年1月初，ESET解釋了易受攻擊的簽名內核驅動程序（一種稱為自帶易受攻擊驅動程序（BYOVD）的方法）如何成為惡意參與者獲取Windows機器固有訪問權限的無防護網關。

一周前，Proofpoint透露，自2021年初以來，與中國、伊朗、朝鮮和土耳其結盟的民族國家黑客組織一直以記者為目標進行間諜活動和傳播惡意軟件。

來源：真相只有一個

原文鏈接：https://www.hake.cc/page/article/4448.html