谷歌警告哈萨克斯坦和意大利的受害者,他们正在成为Hermit的攻击目标,这是意大利供应商RCS实验室的一个复杂的模块化间谍软件,该软件不仅可以窃取数据,而且还可以记录和拨打电话。
谷歌威胁分析小组(TAG)的研究人员周四在一篇博文中透露了一些细节,TAG研究人员Benoit Sevens和Clement Lecigne向目标发送了一个特制的链接,试图让他们下载并安装该间谍软件。然而,他们说,在苹果或谷歌两者的移动应用商店中都没有发现这些应用程序的相关信息。
TAG公司将这种攻击归因于臭名昭著的监控软件供应商RCS实验室,该实验室与之前哈萨克斯坦政府的一个代理人针对国内目标的间谍软件攻击活动有关,并之后被Lookout研究发现。
Google TAG发言人在周四下午发给媒体的电子邮件中写道,我们将会详细公布我们所调查的RCS实验室的相关信息,它是一家意大利供应商,它会使用各种攻击策略,包括非典型的驱动式下载作为初始感染载体,并以iOS和Android上的移动用户为攻击目标。
研究人员在帖子中写道,TAG观察到的所有攻击活动都是通过向目标发送一个特制的链接,然后试图引诱用户使用任意一种方式下载Hermit间谍软件。用户一旦点击,那么受害者就会被引导到一个网页,然后在安卓或iOS系统上下载并且安装一个监控应用程序。
研究人员写道,该网页使用了意大利语要求用户安装这些应用程序中的一个,然后恢复他们的账户。并且该下载链接指向了攻击者控制的安卓或iOS恶意程序。
与互联网服务供应商合作
他们说,威胁者所采用的一个攻击诱饵是与目标的ISP合作,禁用他或她的移动数据连接,然后通过一个链接发送伪装成运营商的应用程序,然后试图让受害者安装一个恶意的应用程序来恢复数据连接。
研究人员在谷歌Project Zero的Ian Beer的一篇博文中提到了一个案例,他们发现了一个貌似是来自沃达丰的iOS应用,但实际上它是一个伪装的应用。攻击者会通过短信发送这个恶意应用程序的下载链接,试图欺骗目标下载Hermit间谍软件。
短信声称,为了恢复您的移动数据连接,您必须安装运营商的应用程序,这个短信还包括了一个下载和安装这个虚假应用程序的链接。
谷歌TAG研究人员写道,事实上,这可能是他们在Hermit活动中观察到的大多数应用程序都伪装成移动运营商应用程序的原因。
在其他情况下,当他们不能直接与互联网服务提供商合作时,威胁者会使用那些看起来像是消息应用程序的软件来隐藏Hermit,据Google TAG研究人员说,这也证实了Lookout先前在其研究中所发现的情况。
揭秘针对iOS的攻击
Lookout此前分享了针对安卓设备进行攻击的Hermit的相关技术细节,而谷歌TAG则详细说明了间谍软件在iPhone上的具体功能。
他们还公布了一系列的漏洞细节,其中的两个漏洞在最初被谷歌Project Zero发现时属于零日漏洞,并且攻击者在活动中还利用了这些漏洞。事实上,文章只是对其中一个漏洞进行了技术分析。CVE-2021-30983漏洞在内部被称为Clicked3,并且由苹果公司在2021年12月修复。
研究人员概述说,攻击者为了分发iOS应用程序,攻击者只需遵循苹果公司关于向苹果设备分发内部专有应用程序的指示即可,同时还会使用itms-services协议和com.ios.Carrier为标识符的清单文件。
他们说,由此生成的应用程序是用一家名为3-1 Mobile SRL的公司的证书签署的,并且该公司也已经加入了苹果开发者的企业计划中,这也就使得iOS设备上的证书合法化。
研究人员说,iOS应用程序本身被分解成了多个部分,包括一个通用的特权提升利用包装器,它被六个不同的利用程序用于针对先前的漏洞进行攻击。除了Clieked3之外,其他被利用的漏洞还有:
CVE-2018-4344 内部称为并公开称为LightSpeed。
CVE-2019-8605 内部称为SockPort2,公开称为SockPuppet。
CVE-2020-3837 内部称为并公开称为TimeWaste。
CVE-2020-9907 内部称为AveCesare
CVE-2021-30883 内部称为Clicked2,在 2021年10月被在野外利用。
研究人员补充说,2021年之前使用的所有漏洞都是基于不同越狱社区公开的漏洞。
更为广泛的影响
Hermit间谍软件的出现表明,在政府利用以色列NSO集团的Pegasus间谍软件对持不同政见者、活动家和非政府组织进行网络攻击以及谋杀记者的事件被曝光后,威胁者通常会作为国家支持的实体,然后使用新的监视技术和策略进行攻击。
谷歌TAG研究人员写道,事实上,虽然根据国家或国际法律,使用像Hermit这样的间谍软件可能是合法的,但它们经常会被政府用于与民主价值观相反的目的,针对持不同政见者、记者、人权工作者和反对党政治家进行攻击。
美国因这一活动将NSO集团列入了黑名单,这引起了国际社会的关注和愤怒。但据谷歌TAG称,这显然丝毫没有阻止这些用于邪恶目的的间谍软件的扩散。
事实上,商业间谍软件行业会继续蓬勃发展,并会以显著的速度增长,这应该会引起所有互联网用户的关注。
他们说,这些供应商正在使危险的黑客工具进行扩散,并为那些无法在内部开发这些工具的政府组织提供武器。
本文翻译自:https://threatpost.com/google-hermit-spyware-android-ios/180062/如若转载,请注明原文地址