官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
谷歌威胁分析小组(TAG)透露,去年解决的一些零日漏洞被商业间谍软件供应商利用,以Android和iOS设备为目标。
这两个不同的活动都有很强的针对性,利用补丁发布与目标设备上实际修复之间的时间差。
这些供应商正在使危险的黑客工具的扩散,武装那些无法在内部开发这些能力的政府,TAG的Clement Lecigne在一份新报告中说。
虽然根据国家或国际法律,监控技术的使用部分是合法的,但人们经常发现有关政府利用这些技术来监控不同政见者、记者、人权工作者和反党人士。
这两次行动中的第一次发生在2022年11月,通过短信向位于意大利、马来西亚和哈萨克斯坦的用户发送缩短的链接。点击后,这些URL将收件人重定向到承载安卓或iOS漏洞的网页,然后他们又被重定向到合法的新闻或货运追踪网站。
iOS的漏洞链利用了多个漏洞,包括CVE-2022-42856(当时的零日)、CVE-2021-30900和一个指针认证代码(PAC)绕过,将一个.IPA文件安装到易受影响的设备上。
安卓系统的漏洞链包括三个漏洞--CVE-2022-3723、CVE-2022-4135(滥用时为零日)和CVE-2022-38181以传递一个未指定的有效载荷。
虽然CVE-2022-38181是一个影响Mali GPU内核驱动的特权升级漏洞,在2022年8月被Arm打了补丁,但对方可能在补丁发布之前已经掌握了该漏洞的利用方法。
另一点值得注意的是,点击链接在三星浏览器中打开的安卓用户,被使用一种称为意图重定向的方法重定向到Chrome。
第二个活动是在2022年12月观察到的,包括几个针对最新版本的三星浏览器的零日和n日,这些漏洞通过短信作为一次性链接发送到位于阿联酋的设备。
该网页与西班牙间谍软件公司Variston IT使用的网页类似,都植入了一个基于C++的恶意工具包,能够从聊天和浏览器应用程序中获取数据。
被利用的漏洞包括CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266和CVE-2023-26083。据信,该漏洞链被瓦里斯顿信息技术公司的一个客户或合作伙伴所利用。
目前,这两个活动的规模和目标的性质目前还不清楚。
在拜登签署“限制使用商业间谍软件”的行政命令几天后,这些消息就被披露出来。足以见得,商业间谍软件行业任然在蓬勃发展。监控供应商之间正在分享漏洞和技术,即使是较小的监控供应商也能获得零日漏洞。供应商秘密储存和使用零日漏洞在短时间内对互联网仍构成严重的风险。
参考链接:thehackernews.com/2023/03/spyware-vendors-caught-exploiting-zero.html