Spyware

Windows-udnyttelsesramme bruges til at implementere spyware

Googles Threat Analysis Group (TAG) har knyttet en udnyttelsesramme, der er målrettet mod nu patchede sårbarheder i Chrome- og Firefox-webbrowserne og Microsoft Defender-sikkerhedsappen til et spansk softwarefirma.

Mens TAG er Googles team af sikkerhedseksperter, der fokuserer på at beskytte Google-brugere mod statsstøttede angreb, holder det også styr på snesevis af virksomheder, der gør det muligt for regeringer at spionere på dissidenter, journalister og politiske modstandere ved hjælp af overvågningsværktøjer.

Søgegiganten siger, at det Barcelona-baserede softwarefirma er en af disse kommercielle overvågningsleverandører og ikke kun en leverandør af brugerdefinerede sikkerhedsløsninger, som det officielt hævder.

“Fortsætter dette arbejde, i dag, deler vi resultater om en udnyttelsesramme med sandsynlige bånd til Variston IT, et firma i Barcelona, Spanien, der hævder at være leverandør af brugerdefinerede sikkerhedsløsninger,” sagde Google TAG’s Clement Lecigne og Benoit Sevens onsdag.

“Deres Heliconia-ramme udnytter n-dags sårbarheder i Chrome, Firefox og Microsoft Defender og giver alle de nødvendige værktøjer til at implementere en nyttelast til en målenhed.”

Udnyttelsesrammen består af flere komponenter, der hver især er målrettet mod specifikke sikkerhedsfejl i software på målenes enheder:

  • Heliconia Noise: en webramme til implementering af en Chrome-renderer-fejludnyttelse efterfulgt af en Chrome-sandkasseflugt for at installere agenter på den målrettede enhed
  • Heliconia Soft: en webramme, der implementerer en PDF, der indeholder Windows Defender-udnyttelsen, der spores som CVE-2021-42298
  • Heliconia-filer: et sæt Firefox-udnyttelser til Linux og Windows, en sporet som CVE-2022-26485

For Heliconia Noise og Heliconia Soft ville udnyttelserne i sidste ende implementere en agent ved navn ‘agent_simple’ på den kompromitterede enhed.

Prøven af denne ramme analyseret af Google indeholdt imidlertid en dummy-agent, der kører og afslutter uden at udføre nogen ondsindet kode.

Google mener, at rammens kunde stiller deres egen agent til rådighed, eller at den er en del af et andet projekt, de ikke har adgang til.

Selvom der ikke er tegn på aktiv udnyttelse af de målrettede sikkerhedssårbarheder, og Google, Mozilla og Microsoft lappede dem i 2021 og begyndelsen af 2022, siger Google TAG, at “det ser ud til, at disse sandsynligvis blev brugt som nul-dage i naturen.”

En talsmand for Variston IT var ikke umiddelbart tilgængelig for kommentarer, da han blev kontaktet af BleepingComputer tidligere i dag.

Googles spywareleverandørsporingsindsats

I juni afslørede virksomhedens TAG-team også, at den italienske spywareleverandør RCS Labs blev hjulpet af nogle internetudbydere (ISP’er) til at implementere kommercielle overvågningsværktøjer på enheder fra Android- og iOS-brugere i Italien og Kasakhstan.

Under angrebene blev målene bedt om at installere ondsindede apps (camoufleret som legitime mobiloperatørapps) i drive-by-downloads for at komme tilbage online, efter at deres internetforbindelse blev afbrudt ved hjælp af deres internetudbyder.

En måned tidligere afslørede Google TAG en anden overvågningskampagne, da statsstøttede trusselsaktører udnyttede fem nul-dages fejl til at installere Predator-spyware udviklet af kommerciel spywareudvikler Cytrox.

Google sagde på det tidspunkt, at det aktivt sporer over 30 leverandører med forskellige niveauer af offentlig eksponering og raffinement, der sælger overvågningsfunktioner eller udnyttelser til regeringssponsorerede trusselgrupper eller aktører.

“Væksten i spywareindustrien sætter brugerne i fare og gør internettet mindre sikkert, og mens overvågningsteknologi kan være lovlig i henhold til nationale eller internationale love, bruges de ofte på skadelige måder til at udføre digital spionage mod en række grupper,” tilføjede Google TAG i dag.

“Disse misbrug udgør en alvorlig risiko for onlinesikkerheden, og derfor vil Google og TAG fortsætte med at gribe ind over for og offentliggøre forskning om den kommercielle spywareindustri.”

Kilde: BleepingComputers

Foto: Pexels

Cybersikkerhed & Nyheder

Social Media
| | | |

Cyberkriminelle bruger offentlige onlinedata målrettet mod medarbejdere

ByHenning Sand Sørensen

Et LinkedIn-indlæg om at få et nyt job blev til en potentiel phishing-fidus og lignende hændelser ses oftere og oftere. Vi poster vores daglige liv på sociale medier og tænker ikke på at gøre vigtige detaljer om vores liv offentlige. Vi er nødt til at genoverveje, hvad vi deler online, og hvordan angribere kan bruge…

FIDO baserede godkendendelsesprocesser
| |

Grund til at overveje FIDO-baserede godkendelsesenheder

ByHenning Sand Sørensen

Adgangskoder sendt via SMS- eller autentificeringsapps kan omgås ved smart phishing. Hardwarebaserede tokens gør det sværere at gøre. Enhver virksomhed har brug for en sikker måde at indsamle, administrere og godkende adgangskoder på. Desværre er ingen metode idiotsikker. Lagring af adgangskoder i browseren og afsendelse af engangsadgangskoder via SMS- eller autentificeringsapps kan omgås ved phishing….

pipeline, oil.jpg
| | | | |

BlackCat angriber europæisk gasledning

ByHenning Sand Sørensen

ALPHV ransomware-banden, alias BlackCat, har påtaget sig ansvaret for et cyberangreb mod Creos Luxembourg S.A. i sidste uge, en naturgasledning og elnetoperatør i det centraleuropæiske land. Creos’ ejer, Encevo, der opererer som energileverandør i fem EU-lande, meddelte den 25. juli, at de havde været udsat for et cyberangreb den foregående weekend mellem den 22. og…

Kinesiske hackere bag de fleste nul-dages udnyttelser i løbet af 2021
| | | | | | |

Kinesiske hackere bag de fleste nul-dages udnyttelser i løbet af 2021

ByMichael Rasmussen

I dag har trusselsanalytikere som ventet rapporteret, at nul-dages sårbarhedsudnyttelse er stigende. Det nye er at Kina har intensiveret forskningen i dem og det er dermed KINA der bruger de fleste af dem af alle angreb sidste år. Nul-dages sårbarheder er sikkerhedssvagheder i softwareprodukter, der enten er ukendte eller ikke er blevet rettet på opdagelsestidspunktet…

cyber, attack, encryption-3327240.jpg
| | | |

Angreb i virksomhedernes forsyningskæde steg med over 600 % i år

ByHenning Sand Sørensen

De fleste virksomheder mener, at de ikke bruger open source-softwarebiblioteker med kendte sårbarheder, men nye undersøgelser finder dem i 68% af udvalgte virksomhedsapplikationer. Antallet af dokumenterede forsyningskædeangreb, der involverer ødelæggende tredjepartskomponenter, er steget 633% i løbet af det sidste år og sidder nu på over 88.000 kendte tilfælde, ifølge en ny rapport fra software supply…

Finske diplomaters telefoner inficeret med Pegasus spyware
| | | | | |

Finske diplomaters telefoner inficeret med Pegasus spyware

ByHenning Sand Sørensen

Finlands udenrigsministerium siger, at enheder i det finske diplomati er blevet hacket og inficeret med NSO Groups Pegasus-spyware i en cyberspionagekampagne. “Finske diplomater har været mål for cyber spionage ved hjælp af Pegasus spyware, udviklet af NSO Group Technologies, som har fået bred omtale,” siger ministeriet i en erklæring den 28. Januar. “Den meget sofistikerede…