谷歌發(fā)現(xiàn)用于部署間諜軟件的 Windows 漏洞利用框架

發(fā)布時間 2022-12-01

據(jù)BleepingComputer 11月30日消息,谷歌的威脅分析小組 (TAG) 發(fā)現(xiàn)一家西班牙軟件公司試圖利用 Chrome 、 Firefox 瀏覽器以及 Microsoft Defender 安全應(yīng)用程序中的漏洞從事間諜活動,目前漏洞已經(jīng)得到修復(fù)。


谷歌TAG表示,這家總部位于巴塞羅那的軟件公司雖然官方宣稱是一家安全解決方案提供商,但其實也從事商業(yè)監(jiān)控活動。

該公司使用Heliconia 框架,利用了 Chrome、Firefox 和 Microsoft Defender 中的 N-day 漏洞,提供了將有效載荷部署到目標(biāo)設(shè)備所需的所有工具。該利用框架由多個組件組成,每個組件都針對目標(biāo)設(shè)備軟件中的特定安全漏洞:

  • Heliconia Noise:一個 Web 框架,用于部署 Chrome 渲染器錯誤利用,以及 Chrome 沙箱逃逸以在目標(biāo)設(shè)備上安裝代理

  • Heliconia Soft:一個部署包含 Windows Defender 漏洞的 PDF  Web 框架,被跟蹤為 CVE-2021-42298

  • Heliconia 文件一組針對 Linux 和 Windows 的 Firefox 漏洞利用,其中一個被跟蹤為 CVE-2022-26485


對于 Heliconia Noise 和 Heliconia Soft,這些漏洞最終會在受感染的設(shè)備上部署名為“agent_simple”的代理。TAG分析了一個包含虛擬代理的框架樣本,得到的結(jié)果是在運(yùn)行和退出的情況下未執(zhí)行任何惡意代碼,認(rèn)為該框架的客戶提供了他們自己的代理,或者是谷歌沒有權(quán)限訪問整個框架。

盡管沒有證據(jù)表明目標(biāo)安全漏洞被積極利用,并且谷歌、Mozilla 和微軟在 2021 年和 2022 年初修補(bǔ)了這些漏洞,但TAG 表示這些漏洞很可能在野外被用作零日漏洞。

對間諜軟件供應(yīng)商的跟蹤

TAG 屬于谷歌旗下的安全專家團(tuán)隊,專注于保護(hù)谷歌用戶免受國家支持的網(wǎng)絡(luò)攻擊,但團(tuán)隊也跟蹤了數(shù)十家從事間諜或監(jiān)視服務(wù)的公司。

2022年6 月,TAG 注意到意大利間諜軟件供應(yīng)商 RCS Labs在一些互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 的幫助下,在意大利和哈薩克斯坦的 Android 和 iOS 用戶的設(shè)備上部署了商業(yè)監(jiān)控工具。期間,目標(biāo)用戶被提示安裝偽裝成合法移動運(yùn)營商應(yīng)用的監(jiān)控軟件。最近,TAG 揭露了另一場監(jiān)視活動,受國家支持的攻擊者利用五個零日漏洞,在目標(biāo)設(shè)備上安裝商業(yè)間諜軟件開發(fā)商 Cytrox 開發(fā)的 Predator 間諜軟件。

TAG表示,間諜軟件行業(yè)的發(fā)展使用戶處于危險之中,并降低了互聯(lián)網(wǎng)的安全性,雖然根據(jù)國家或國際法律,監(jiān)控技術(shù)可能是合法的,但它們經(jīng)常以有害的方式被用來對一系列群體進(jìn)行數(shù)字間諜活動。