周三，谷歌的研究人员揭露了两个有针对性的间谍软件活动，涉及针对 Android、iOS 和移动版 Chrome 浏览器的多个0day漏洞攻击。

研究人员说，一项活动针对意大利、马来西亚和哈萨克斯坦，而另一项活动则针对阿拉伯联合酋长国 (UAE)。

谷歌称这些活动“独特、有限且针对性强”。谷歌没有具体说明间谍软件的来源，但表示这些事件说明了监控工具市场的规模。

“这些活动提醒人们，商业间谍软件行业继续蓬勃发展。甚至更小的监控供应商也可以访问0day漏洞，供应商秘密储存和使用0day漏洞对互联网构成严重风险。”谷歌的威胁分析小组（TAG）在一篇博客文章（https://blog.google/threat-analysis-group/spyware-vendors-use-0-days-and-n-days-against-popular-platforms/）中说。

谷歌没有回答有关可能涉及哪些政府或威胁组织、受害者是谁或有多少人受到影响的一系列问题。这两个活动都是在 2022 年底被发现的。

直到 2022 年下半年，安全研究人员才知道间谍软件利用的许多漏洞，这意味着在黑客开始利用它们之前，公司没有时间来修补它们。谷歌表示，Android、Apple 的 iOS 和 Chrome 中的漏洞已经得到修复。

研究人员说：“这些活动还可能表明，监控供应商正在共享漏洞利用和技术，从而导致危险的黑客工具扩散。”

2022年11月的攻击活动

在 2022 年 11 月确定的一次活动中，黑客安装了一个工具，使他们能够跟踪意大利、马来西亚和哈萨克斯坦的设备位置。TAG 研究人员发现，黑客通过 SMS 发送的 bit.ly 链接将间谍软件传送到 Android 和 Apple 设备。

当受害者点击这些链接时，他们会被带到一个网页，该网页为任一品牌的设备安装了间谍软件，然后被重定向到意大利货运和物流公司 BRT 的“跟踪货运”页面或一个受欢迎的马来西亚新闻网站。

brt-page.png间谍软件活动中使用的合法“跟踪货运”页面

对于使用 Apple 设备的受害者，该恶意软件利用了漏洞 CVE-2022-42856，该漏洞已被修补但当时未知。这些攻击针对的是使用 iOS 15.1 之前版本的用户。黑客还针对 CVE-2021-30900，这是Apple在 15.1 中修复的另一个漏洞。

使用 Android 设备的受害者通过三种不同的攻击方式成为攻击目标，其中包括一次0Day漏洞攻击。黑客使用了CVE-2022-3723 ——这是由Avast 的研究人员发现的一个漏洞，谷歌在 2022 年 10 月修复了这个漏洞——以及另外两个漏洞：CVE-2022-4135和CVE-2022-38181。

CVE-2022-4135 是影响 Android 设备的0day漏洞，已于 2022 年 11 月修复，CVE-2022-38181 是影响英国半导体和软件设计公司 ARM 产品的漏洞。

ARM 于 2022 年 8 月修补了该漏洞，但谷歌 TAG 研究人员不确定攻击者是否在将漏洞报告给 ARM 之前利用了该漏洞。

“当 ARM 发布针对 CVE-2022-38181 的修复程序时，包括 Pixel、三星、小米、Oppo 等在内的多家供应商都没有整合该补丁，导致攻击者能够在几个月内自由利用该漏洞。”ARM芯片的这个漏洞最近在Project Zero和Github Security Lab的博客文章中再次被强调。

针对阿拉伯联合酋长国的攻击

研究人员表示，第二次活动于 2022 年 12 月被发现，其目标是安装间谍软件套件，使黑客能够解密数据并从各种聊天服务和浏览器应用程序中窃取信息。它针对在阿拉伯联合酋长国 (UAE) 使用的设备，并涉及多个针对最新版本三星互联网浏览器的0day漏洞。

研究人员说，与另一项活动一样，这一活动针对的是发送短信的人。该链接将受害者带到一个登陆页面，该页面与谷歌之前一份关于西班牙商业间谍软件供应商 Variston 的报告中确定的页面相同。

研究人员表示：“使用漏洞利用链针对阿联酋用户的攻击者可能是 Variston 的客户或合作伙伴，或者与间谍软件供应商密切合作。”

黑客利用了四个漏洞：CVE-2022-4262、CVE-2022-3038、CVE-2022-22706和CVE-2023-0266。所有四个都已修补。

在博文中，谷歌表示已将所有漏洞报告给苹果、三星、ARM 和其他受影响的供应商，所有这些供应商都迅速做出了回应。谷歌称赞国际特赦组织的安全实验室帮助揭露了阿联酋的这场运动。

有关组织呼吁“全球暂停销售、转让和使用间谍软件，直到强有力的人权监管保障措施到位，否则复杂的网络攻击将继续被用作镇压活动家和记者的工具。”谷歌还指出，这些活动强调了打补丁的重要性，因为“如果他们运行的是完全更新的设备”，许多受害者就不会受到漏洞利用链的影响。

危险的发展

谷歌警告说，分享漏洞利用和技术是一种危险的发展，因为它们通常“被用来针对特定目标”。

研究人员解释说：“0day漏洞与 nday 漏洞一起使用，并利用了修复发布与完全部署到最终用户设备之间的巨大时间差。”

参考链接：https://therecord.media/spyware-google-italy-malaysia-kazakhstan-uae