Google 发现用于部署间谍软件的其他 iOS 和 Android 零日漏洞

近期谷歌的威胁分析小组 (TAG) 已经确定了一些利用 Chrome、iOS、Android 和其他平台中的零日和 n 日漏洞的漏洞利用链。可在目标设备上安装商业间谍软件和恶意应用程序。

早在 2022 年 11 月发现的第一个活动中，攻击者使用不同的漏洞利用链来针对 iOS 和 Android 用户。

将受害者发送到利用 iOS WebKit 远程代码执行零日漏洞 (CVE-2022-42856) 和沙箱逃逸 (CVE-2021-30900) 漏洞触发漏洞利用的页面后，他们使用短信推送 bit.ly 缩短链接至将受害者重定向到来自意大利、马来西亚和哈萨克斯坦的合法航运网站。

威胁行为者投放了一个有效载荷，使他们能够监控受害者的位置并在受感染的 iOS 设备上安装 .IPA 文件。

Chrome GPU 沙箱绕过零日漏洞 (CVE-2022-4135)、ARM 权限升级错误 (CVE-2022-38181) 和具有未知负载的 Chrome 类型混淆错误 (CVE-2022-3723) 也被用作使用 ARM GPU 攻击设备的相同操作的一部分。

根据 Google TAG 的 Clément Lecigne 的说法，“当 ARM 发布 CVE-2022-38181 的修复程序时，包括 Pixel、三星、小米、Oppo 等在内的多家供应商没有加入该补丁，导致攻击者能够自由利用这个漏洞几个月。”

【第二波针对三星客户的攻击】

在 Google TAG 研究人员发现一个利用大量 0-day 和 n-day 以 2022 年 12 月最新版本的三星互联网浏览器为目标的漏洞利用链之后，又发现了第二个活动。

基于阿联酋的目标被重定向到雇佣间谍软件供应商 Variston 为其 Heliconia 开发框架制作的开发页面，该框架针对一长串缺陷，包括：

1、Chrome 类型误解漏洞：CVE-2022-4262（利用时为零日漏洞）

2、逃离 Chrome 沙箱 (CVE-2022-3038)

3、允许系统访问并于 2022 年 1 月修复的 Mali GPU 内核驱动程序漏洞被指定为 CVE-2022-22706。 （攻击发生时三星固件中未解决）

4、CVE-2023-0266 提供对内核的读写访问，是 Linux 内核声音子系统中的竞争条件缺陷。 （利用时的零日）

5、攻击链还使用了多个与内核信息泄漏相关的零日漏洞来利用 CVE-2022-22706 和 CVE-2023-0266。

利用链最终成功地为 Android 部署了一个基于 C++ 的间谍软件套件，其中充满了用于从各种聊天和浏览器应用程序中解密和提取数据的库。

Lecigne 表示，攻击者“利用了修复发布与完全部署到最终用户设备之间的巨大时间差”，他指出这两个活动都具有很强的针对性。

这些努力可能使危险的黑客工具的扩散成为可能，这也表明监控供应商正在共享漏洞利用和技术。

国际特赦组织安全实验室的调查结果还发布了有关攻击中使用的域和基础设施的信息，这成为发现这些漏洞利用链的催化剂。

国际特赦组织今天在另一份报告中表示，最近发现的间谍软件活动“至少从 2020 年开始就一直活跃，目标是移动和桌面设备，包括谷歌 Android 操作系统的用户。”

“一个由 1000 多个恶意域组成的庞大网络，包括许多国家/地区的欺骗媒体网站域，被用来传播间谍软件和零日攻击。”

【间谍软件的供应商监控活动】

这是监控雇佣间谍软件市场并跟踪供应商用来在人权和政治活动家、记者、立法者和其他高风险用户未受保护的计算机上安装其产品的零日漏洞的持续努力的一部分世界各地。

2022 年 5 月，谷歌宣布它正在积极监控 30 多家公开程度和复杂程度各不相同的供应商，这些供应商以向全球国家支持的威胁行为者出售监控工具或漏洞利用而闻名

2022 年 11 月，谷歌 TAG 研究人员透露，他们已将西班牙软件公司 Variston IT 连接到 Heliconia 漏洞利用框架，该框架针对 Chrome、Firefox 和 Microsoft Defender 漏洞。

据谷歌称，一些互联网服务提供商 (ISP) 于 2022 年 6 月协助意大利间谍软件供应商 RCS 实验室使用商业监控软件感染哈萨克斯坦和意大利的 Android 和 iOS 用户设备。

一个月前，谷歌 TAG 曝光了另一项监视行动，该行动利用五个零日漏洞安装由 Cytrox 创建的 Predator 间谍软件。