商业间谍软件猖獗!去年底至少使用5个零日漏洞,安卓苹果设备通杀
安全内参3月30日消息,谷歌威胁分析小组(TAG)发现多条利用Android、iOS及Chrome零日及N-day漏洞的利用链,可在目标设备上安装商业间谍软件与恶意应用程序。
第一起攻击事件:
2个0day、3个n-day
在2022年11月发现的第一起恶意活动中,攻击者通过不同漏洞利用链将矛头指向iOS与Android用户。
他们向受害者发送包含bit.ly短链接的短信,受害者点击链接后,首先会被重定向到包含触发滥用iOS WebKit远程代码执行零日漏洞(CVE-2022-42856)和沙盒逃脱(CVE-2021-30900)漏洞的页面,然后再跳转到意大利、马来西亚和哈萨克斯坦等国的合法货运网站。
在受感染的iOS设备上,恶意黑客投递了有效载荷,以跟踪受害者的GPS位置,并能够安装.IPA文件。
在这轮攻击中,恶意黑客还使用Android漏洞利用链,攻击了搭载ARM GPU的设备。其中使用了Chrome GPU沙箱绕过零日漏洞(CVE-2022-4135)、ARM权限提升漏洞(CVE-2022-38181)以及携带未知载荷的Chrome类型混淆漏洞(CVE-2022-3723)。
谷歌小组的Clément Lecigne表示,“在ARM发布针对CVE-2022-38181的修复程序后,谷歌Pixel、三星、小米、Oppo等多家手机厂商都没有及时整合补丁,导致恶意黑客在接下来几个月内仍可随意利用该漏洞。”
第二起攻击事件:
针对三星用户,数个0day、2个n-day
2022年12月,谷歌小组的研究人员又发现第二起攻击活动,利用多个零日与N-day漏洞攻击了三星手机浏览器最新版本。
位于阿联酋的受害者被短链接重定向到间谍软件厂商Variston IT旗下Heliconia漏洞利用框架创建的页面,其中使用了一系列漏洞,包括:
- CVE-2022-4262——Chrome类型混淆漏洞(当时属零日漏洞);
- CVE-2022-3038——Chrome沙箱逃逸漏洞;
- CVE-2022-22706——可用于系统访问的Mali GPU内核驱动程序漏洞,于2022年1月被修复(当时三星尚未发布修复固件);
- CVE-2023-0266——Linux内核声音子系统条件竞争漏洞,可用于获取内核读写访问权限(当时属零日漏洞);
- 在利用CVE-2022-22706和CVE-2023-0266的同时,该漏洞利用链还使用了其他多个内核信息泄露零日漏洞,比如ARM Mali信息泄露漏洞CVE-2023-26083。
最后,该漏洞利用链在受害者手机上成功部署了基于C++的Android间谍软件套件,其中包括可从多个聊天及浏览器应用中解密和提取数据的库。
Lecigne指出,这两起攻击均有很强的针对性,恶意黑客“利用了补丁发布与全面部署至最终用户设备之间的巨大时间差。”
“这些攻击活动可能还表明,间谍软件供应商之间正在共享漏洞利用手段,致使危险的黑客工具四处扩散。”
这些漏洞利用链的发现,离不开国际人权组织安全实验室分享的调查结果。相关组织还发布了攻击中所使用的域和基础设施的信息。
相关组织表示,“新近发现的间谍软件活动至少自2022年起就一直保持活跃,目标主要为移动和桌面设备,包括谷歌Android操作系统的用户。”
“该间谍软件与零日攻击已经在覆盖1000多个恶意域的广泛网络中传播,涉及多个国家/地区的欺诈网站域。”
商业间谍软件正在蓬勃发展
谷歌小组发布的这份报告,也是网络安全领域持续关注商业间谍软件市场并跟踪零日漏洞利用行为的一部分。目前,人权/政治活动家、记者、政治家及全球其他高风险用户的脆弱设备都面临着商业间谍软件的威胁。
谷歌曾在2022年5月表示,他们正积极跟踪30多家公开度不同、复杂水平各异的间谍软件供应商,这些企业正在向各国政府资助的恶意黑客出售间谍工具的监控能力或漏洞利用信息。
2022年11月,谷歌小组的研究人员将Heliconia漏洞利用框架与西班牙软件公司Variston IT联系了起来。该框架主要针对Chrome、Firefox和Microsoft Defender中的漏洞。
谷歌还提到,2022年6月曾有互联网服务供应商(ISP)帮助意大利间谍软件厂商RCS Labs利用商业间谍工具,感染了意大利和哈萨克斯坦用户的Android与iOS设备。
再往前一个月,谷歌小组揭露了另一起间谍活动,由国家资助的恶意黑客利用5个零日漏洞成功部署了由Cytrox公司开发的Predator间谍软件。
