Spyware

Windows-udnyttelsesramme bruges til at implementere spyware

Googles Threat Analysis Group (TAG) har knyttet en udnyttelsesramme, der er målrettet mod nu patchede sårbarheder i Chrome- og Firefox-webbrowserne og Microsoft Defender-sikkerhedsappen til et spansk softwarefirma.

Mens TAG er Googles team af sikkerhedseksperter, der fokuserer på at beskytte Google-brugere mod statsstøttede angreb, holder det også styr på snesevis af virksomheder, der gør det muligt for regeringer at spionere på dissidenter, journalister og politiske modstandere ved hjælp af overvågningsværktøjer.

Søgegiganten siger, at det Barcelona-baserede softwarefirma er en af disse kommercielle overvågningsleverandører og ikke kun en leverandør af brugerdefinerede sikkerhedsløsninger, som det officielt hævder.

“Fortsætter dette arbejde, i dag, deler vi resultater om en udnyttelsesramme med sandsynlige bånd til Variston IT, et firma i Barcelona, Spanien, der hævder at være leverandør af brugerdefinerede sikkerhedsløsninger,” sagde Google TAG’s Clement Lecigne og Benoit Sevens onsdag.

“Deres Heliconia-ramme udnytter n-dags sårbarheder i Chrome, Firefox og Microsoft Defender og giver alle de nødvendige værktøjer til at implementere en nyttelast til en målenhed.”

Udnyttelsesrammen består af flere komponenter, der hver især er målrettet mod specifikke sikkerhedsfejl i software på målenes enheder:

  • Heliconia Noise: en webramme til implementering af en Chrome-renderer-fejludnyttelse efterfulgt af en Chrome-sandkasseflugt for at installere agenter på den målrettede enhed
  • Heliconia Soft: en webramme, der implementerer en PDF, der indeholder Windows Defender-udnyttelsen, der spores som CVE-2021-42298
  • Heliconia-filer: et sæt Firefox-udnyttelser til Linux og Windows, en sporet som CVE-2022-26485

For Heliconia Noise og Heliconia Soft ville udnyttelserne i sidste ende implementere en agent ved navn ‘agent_simple’ på den kompromitterede enhed.

Prøven af denne ramme analyseret af Google indeholdt imidlertid en dummy-agent, der kører og afslutter uden at udføre nogen ondsindet kode.

Google mener, at rammens kunde stiller deres egen agent til rådighed, eller at den er en del af et andet projekt, de ikke har adgang til.

Selvom der ikke er tegn på aktiv udnyttelse af de målrettede sikkerhedssårbarheder, og Google, Mozilla og Microsoft lappede dem i 2021 og begyndelsen af 2022, siger Google TAG, at “det ser ud til, at disse sandsynligvis blev brugt som nul-dage i naturen.”

En talsmand for Variston IT var ikke umiddelbart tilgængelig for kommentarer, da han blev kontaktet af BleepingComputer tidligere i dag.

Googles spywareleverandørsporingsindsats

I juni afslørede virksomhedens TAG-team også, at den italienske spywareleverandør RCS Labs blev hjulpet af nogle internetudbydere (ISP’er) til at implementere kommercielle overvågningsværktøjer på enheder fra Android- og iOS-brugere i Italien og Kasakhstan.

Under angrebene blev målene bedt om at installere ondsindede apps (camoufleret som legitime mobiloperatørapps) i drive-by-downloads for at komme tilbage online, efter at deres internetforbindelse blev afbrudt ved hjælp af deres internetudbyder.

En måned tidligere afslørede Google TAG en anden overvågningskampagne, da statsstøttede trusselsaktører udnyttede fem nul-dages fejl til at installere Predator-spyware udviklet af kommerciel spywareudvikler Cytrox.

Google sagde på det tidspunkt, at det aktivt sporer over 30 leverandører med forskellige niveauer af offentlig eksponering og raffinement, der sælger overvågningsfunktioner eller udnyttelser til regeringssponsorerede trusselgrupper eller aktører.

“Væksten i spywareindustrien sætter brugerne i fare og gør internettet mindre sikkert, og mens overvågningsteknologi kan være lovlig i henhold til nationale eller internationale love, bruges de ofte på skadelige måder til at udføre digital spionage mod en række grupper,” tilføjede Google TAG i dag.

“Disse misbrug udgør en alvorlig risiko for onlinesikkerheden, og derfor vil Google og TAG fortsætte med at gribe ind over for og offentliggøre forskning om den kommercielle spywareindustri.”

Kilde: BleepingComputers

Foto: Pexels

Scroll to Top