Google’ın Tehdit Analizi Grubu (TAG), kısa bir süre önce, ticari casus yazılım satıcılarının, geçen yıl yamalanan sıfır gün güvenlik açıklarını kullanarak Android ve iOS cihazlarını hedeflediklerini açıkladı.
Kasım 2022’de güvenlik analistleri tarafından iOS ve Android kullanıcılarını hedef alan ilk kampanya keşfedildi. Bu kampanya sırasında, saldırganların her iki platformu da hacklemek için ayrı istismar zincirleri kullandığı tespit edildi.
Hedefleme söz konusu olduğunda, her iki kampanyanın da çok farklı ve sınırlı bir hedef kitle tabanı vardı. Bir düzeltmenin yayınlanması ile hedeflenen cihazlara dağıtılması arasındaki zaman boşluğundan yararlandılar.
Bu yetenekleri şirket içinde geliştiremeyen hükümetler, bu bilgisayar korsanlığı araçlarıyla donanmıştır. Yürürlükteki ulusal veya uluslararası yasalara bağlı olarak, gözetim teknolojilerinin kullanılması yasal olabilir.
Hükümetler, bu gözetim araçlarını ve teknolojilerini kullanarak genellikle aşağıdaki varlıkları hedef alır:-
- muhalifler
- Gazeteciler
- İnsan hakları çalışanları
- muhalefet partisi politikacıları
Kampanya #1 ve #2
Kasım 2022’de aşağıdaki ülkelerdeki kullanıcılara metin mesajları üzerinden gönderilen bit(.)ly bağlantılarının TAG analizi, Android ve iOS platformlarını etkileyen 0 günlük açıklardan yararlanma zincirlerini belirledi:-
- İtalya
- Malezya
- Kazakistan
Tüm kurbanlar, kullanıcılar bağlantıları tıkladığında ortaya çıkan, Android veya iOS açıklarını içeren kötü amaçlı sayfalara yönlendirilir. Bundan sonra kesinlikle orijinal web sitelerine yönlendirildiler.
Tehdit aktörlerinin kullanıcıları yönlendirdiği gerçek web siteleri şunlardır: –
- BRT, İtalya merkezli bir nakliye ve lojistik şirketidir.
veya
- Popüler bir Malezya haber sitesi.
Aşağıda, tehdit aktörlerinin bu iki kampanya sırasında yararlandığı tüm güvenlik açıklarından bahsetmiştik:-
- CVE-2022-42856: JIT derleyicisindeki bir tür karışıklığı sorunundan yararlanan bir WebKit uzaktan kod yürütmesidir (kullanım sırasında 0 gün).
- Mart 2022’de düzeltilen PAC baypas tekniğinden de yararlanıldı.
- CVE-2021-30900: AGXAccelerator’da, Apple tarafından 15.1’de düzeltilen bir sanal alandan kaçış ve ayrıcalık yükseltme hatası.
- CVE-2022-3723: Chrome’daki bir karışıklık güvenlik açığı, Ekim 2022’de 107.0.5304.87 sürümünde giderildi.
- CVE-2022-4135: Kasım 2022’de düzeltilen, yalnızca Android’i (kullanım sırasında 0 gün) etkileyen bir Chrome GPU korumalı alan atlama sorunudur.
- CVE-2022-38181: Bu, Ağustos 2022’de ARM tarafından düzeltilen bir ayrıcalık yükseltme hatasıdır.
- CVE-2022-4262: Aralık 2022’de Chrome’daki bir karışıklık güvenlik açığı giderildi (kullanım zamanında 0 gün).
- CVE-2022-3038: Bu, Chrome’da Ağustos 2022’de sürüm 105’te düzeltilen bir sanal alan kaçışıdır
- CVE-2022-22706: Ocak 2022’de ARM tarafından Mali GPU Çekirdek Sürücüsünde bir güvenlik açığı düzeltildi.
- CVE-2023-0266: Bu, Linux çekirdek ses alt sisteminde bir yarış durumu güvenlik açığıdır (kullanım zamanında 0 gün).
Açıklardan yararlanma zincirinin sonunda Android için C++ tabanlı bir casus yazılım paketi başarıyla konuşlandırıldı. Çeşitli tarayıcılardan ve sohbet uygulamalarından verilerin şifresini çözmek ve çıkarmak için geliştirilmiş kütüphaneler içeriyordu.
Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı, bulguları nedeniyle bu istismar zincirlerinin keşfedilmesi hakkında bilgiler paylaştı.
İlgili IOC’ler
Aşağıda, ilgili tüm IOC’lerden bahsettik: –
- https://cdn.cutlink[.]site/p/uu6ekt – açılış sayfası
- https://api.cutlink[.]site/api/s/N0NBL8/ – Android istismar zinciri
- https://api.cutlink[.]site/api/s/3PU970/ – iOS istismar zinciri
- https://imjustarandomsite.3utilities[.]com – teslimat sunucusundan yararlanın
- www.sufficeconfigure[.]com – bir açılış sayfası ve yararlanma dağıtımı
- www.anglesyen[.]org – kötü amaçlı yazılım C2
- Aşağıdaki Android sistem özellikleri, kötüye kullanım belirtileri gösterebilir
- sys.brand.note
- sys.marka.notlar
- sys.brand.doc
- Telefondaki aşağıdaki dizin enfeksiyon belirtileri gösteriyor olabilir
Kullanıcılar için Koruma
Google, kullanıcıları korumak için tüm bu güvenlik açıklarını zaten satıcılara bildirdi.
Google, aşağıdaki şirketler tarafından bu güvenlik açıklarına hızlı bir şekilde yanıt verildiğini ve yama yapıldığını fark etmezse, bunları ele alması gereken şirketler kusurlu olacaktır:-
- Chrome ekibi
- piksel ekibi
- Android ekibi
- elma takımı
Yama, gerçekleştirilmesi gereken en önemli şeylerden biridir. Ancak, bu istismar zincirleri, tamamen güncellenmiş bir cihaza sahip olan bir kullanıcıyı etkileyemez.
Bu tür kampanyaların bir sonucu olarak, ticari casus yazılım pazarının gelişmeye devam ettiğini unutmamak önemlidir.
0 günlük güvenlik açıklarına küçük gözetim sağlayıcıları bile erişebilir. Kullanıcılar için ciddi bir güvenlik riski oluşturduklarından, satıcılar 0 günlük güvenlik açıklarını gizli olarak stoklayıp kullandıklarında İnternet yüksek risk altındadır.
Pentester mısınız? – Ücretsiz Otomatik API Sızma Testini Deneyin
Ayrıca Oku:
İran APT42, İlgi Hedeflerini Gözetlemek İçin Özel Android Casus Yazılımını Kullanıyor
24 Yaşındaki Avustralyalı Hacker Casus Yazılım Oluşturup Sattığı İçin Tutuklandı
Casus Yazılım Dağıtmak İçin Vahşi Ortamda Google Chrome 0 Günlük Güvenlik Açığı Kullanıldı
İSS’ler Bilgisayar Korsanlarının Akıllı Telefonlara Hermit Casus Yazılım Bulaştırmasına Yardımcı Oldu
NSO Grubu Casus Yazılımını iPhone’lara Yüklemek İçin Kullanılan Sıfır Tıklamalı Yeni Bir iMessage İstismarı