谷歌发现用于部署间谍软件的 Windows 漏洞利用框架
谷歌的威胁分析小组 (TAG) 已将针对 Chrome 和 Firefox 网络浏览器以及 Microsoft Defender 安全应用程序中现已修补的漏洞的漏洞利用框架与一家西班牙软件公司相关联。
虽然 TAG 是谷歌的安全专家团队,专注于保护谷歌用户免受国家资助的攻击,但它也跟踪数十家使政府能够使用监视工具监视持不同政见者、记者和政治对手的公司。
这家搜索巨头表示,这家总部位于巴塞罗那的软件公司是这些商业监控供应商之一,而不仅仅是其官方宣称的定制安全解决方案提供商。
Google TAG的Clement Lecigne 和 Benoit Sevens在周三说:
“他们的 Heliconia 框架利用了 Chrome、Firefox 和 Microsoft Defender 中的 0-day 漏洞,并提供了将有效载荷部署到目标设备所需的所有工具。”
利用框架由多个组件组成,每个组件都针对目标设备上软件中的特定安全漏洞:
Heliconia Noise:一个 web 框架,用于部署 Chrome 渲染器错误利用,然后是 Chrome 沙箱逃逸以在目标设备上安装代理
Heliconia Soft:一个部署包含 Windows Defender 漏洞的 PDF 的 Web 框架,被跟踪为 CVE-2021-42298
Heliconia 文件:一组针对 Linux 和 Windows 的 Firefox 漏洞利用,其中一个被跟踪为 CVE-2022-26485
对于 Heliconia Noise 和 Heliconia Soft,这些漏洞最终会在受感染的设备上部署名为“agent_simple”的代理。
然而,谷歌分析的这个框架样本包含一个虚拟代理,它在不执行任何恶意代码的情况下运行和退出。
谷歌认为该框架的客户提供了他们自己的代理,或者它是他们无权访问的另一个项目的一部分。
尽管没有证据表明目标安全漏洞被积极利用,并且谷歌、Mozilla 和微软在 2021 年和 2022 年初修补了这些漏洞,但谷歌 TAG 表示,“这些漏洞很可能被用作零日漏洞。”
今天早些时候,BleepingComputer 联系了 Variston IT 发言人,但未能立即发表评论。
谷歌的间谍软件供应商跟踪工作
6 月,该公司的 TAG 团队还透露,意大利间谍软件供应商 RCS Labs在一些互联网服务提供商 (ISP) 的帮助下,在意大利和哈萨克斯坦的 Android 和 iOS 用户的设备上部署了商业监控工具。
在攻击期间,目标被提示安装恶意应用程序(伪装成合法的移动运营商应用程序)以下载驱动程序,以便在他们的互联网连接在他们的 ISP 的帮助下被切断后恢复在线。
一个月前,谷歌 TAG 揭露了另一场监视活动,当时国家支持的威胁行为者利用五个零日漏洞安装商业间谍软件开发商 Cytrox 开发的 Predator 间谍软件。
谷歌当时表示,它正在积极跟踪 30 多家公开曝光程度和复杂程度各不相同的供应商,这些供应商向政府资助的威胁组织或参与者出售监控功能或漏洞。
“间谍软件行业的发展使用户处于危险之中,并降低了互联网的安全性,虽然根据国家或国际法律,监控技术可能是合法的,但它们经常以有害的方式被用来对一系列群体进行数字间谍活动,”谷歌今天添加了 TAG。
“这些滥用行为对在线安全构成了严重威胁,这就是为什么谷歌和 TAG 将继续对商业间谍软件行业采取行动并发布相关研究的原因。”
这家搜索巨头表示,这家总部位于巴塞罗那的软件公司是这些商业监控供应商之一,而不仅仅是其官方宣称的定制安全解决方案提供商。
Google TAG的Clement Lecigne 和 Benoit Sevens在周三说:
“他们的 Heliconia 框架利用了 Chrome、Firefox 和 Microsoft Defender 中的 0-day 漏洞,并提供了将有效载荷部署到目标设备所需的所有工具。”
利用框架由多个组件组成,每个组件都针对目标设备上软件中的特定安全漏洞:
Heliconia Noise:一个 web 框架,用于部署 Chrome 渲染器错误利用,然后是 Chrome 沙箱逃逸以在目标设备上安装代理
Heliconia Soft:一个部署包含 Windows Defender 漏洞的 PDF 的 Web 框架,被跟踪为 CVE-2021-42298
Heliconia 文件:一组针对 Linux 和 Windows 的 Firefox 漏洞利用,其中一个被跟踪为 CVE-2022-26485
对于 Heliconia Noise 和 Heliconia Soft,这些漏洞最终会在受感染的设备上部署名为“agent_simple”的代理。
然而,谷歌分析的这个框架样本包含一个虚拟代理,它在不执行任何恶意代码的情况下运行和退出。
谷歌认为该框架的客户提供了他们自己的代理,或者它是他们无权访问的另一个项目的一部分。
尽管没有证据表明目标安全漏洞被积极利用,并且谷歌、Mozilla 和微软在 2021 年和 2022 年初修补了这些漏洞,但谷歌 TAG 表示,“这些漏洞很可能被用作零日漏洞。”
今天早些时候,BleepingComputer 联系了 Variston IT 发言人,但未能立即发表评论。
谷歌的间谍软件供应商跟踪工作
6 月,该公司的 TAG 团队还透露,意大利间谍软件供应商 RCS Labs在一些互联网服务提供商 (ISP) 的帮助下,在意大利和哈萨克斯坦的 Android 和 iOS 用户的设备上部署了商业监控工具。
在攻击期间,目标被提示安装恶意应用程序(伪装成合法的移动运营商应用程序)以下载驱动程序,以便在他们的互联网连接在他们的 ISP 的帮助下被切断后恢复在线。
一个月前,谷歌 TAG 揭露了另一场监视活动,当时国家支持的威胁行为者利用五个零日漏洞安装商业间谍软件开发商 Cytrox 开发的 Predator 间谍软件。
谷歌当时表示,它正在积极跟踪 30 多家公开曝光程度和复杂程度各不相同的供应商,这些供应商向政府资助的威胁组织或参与者出售监控功能或漏洞。
“间谍软件行业的发展使用户处于危险之中,并降低了互联网的安全性,虽然根据国家或国际法律,监控技术可能是合法的,但它们经常以有害的方式被用来对一系列群体进行数字间谍活动,”谷歌今天添加了 TAG。
“这些滥用行为对在线安全构成了严重威胁,这就是为什么谷歌和 TAG 将继续对商业间谍软件行业采取行动并发布相关研究的原因。”
关于作者
评论1次
重点语句请适当增加加粗、标红或者引用,增加文章可读性。