Google’ın Tehdit Analizi Grubu (TAG), ticari casus yazılımları ve kötü amaçlı uygulamaları hedeflerin cihazlarına yüklemek için Android, iOS ve Chrome sıfır günlük ve n günlük güvenlik açıklarını kullanan çeşitli açıklardan yararlanma zincirlerini keşfetti.
Saldırganlar, Kasım 2022’de tespit edilen ilk kampanyanın bir parçası olarak iOS ve Android kullanıcılarını ayrı istismar zincirleriyle hedef aldı.
Kurbanları ilk önce bir WebKit uzaktan kod yürütme sıfır gününü (CVE-2022-42856) suistimal eden istismarları tetikleyen sayfalara gönderdikten sonra İtalya, Malezya ve Kazakistan’daki meşru sevkiyat web sitelerine yönlendirmek için bit.ly kısaltılmış bağlantıları iten metin mesajları kullandılar ve bir sanal alandan kaçış (CVE-2021-30900) hatası.
Tehdit aktörleri, güvenliği ihlal edilmiş cihazlarda, kurbanların konumunu izlemelerine ve .IPA dosyalarını yüklemelerine olanak tanıyan bir yük bıraktı.
Bu kampanyada, bir Chrome GPU sandbox bypass sıfır gün (CVE-2022-4135), bir ARM ayrıcalık yükseltme hatası (CVE-2022-38181) ve bir Chrome içeren ARM GPU’lara sahip cihazlara saldırmak için bir Android istismar zinciri de kullanıldı. bilinmeyen bir yük ile karışıklık hatası (CVE-2022-3723) yazın.
“ARM, CVE-2022-38181 için bir düzeltme yayınladığında, Pixel, Samsung, Xiaomi, Oppo ve diğerleri de dahil olmak üzere birçok satıcı yamayı dahil etmedi ve bu da saldırganların birkaç ay boyunca açıktan serbestçe yararlanabildiği bir durumla sonuçlandı. ” Google TAG’den Clément Lecigne söyledi.
Samsung kullanıcılarına yönelik ikinci saldırı serisi
Aralık 2022’de, Google TAG araştırmacılarının birden fazla 0 gün ve n gün kullanan güncel Samsung İnternet Tarayıcısı sürümlerini hedefleyen bir açıklardan yararlanma zinciri bulmasının ardından ikinci bir kampanya tespit edildi.
Birleşik Arap Emirlikleri’nden (BAE) hedefler, Variston paralı casus yazılım satıcısı tarafından Heliconia istismar çerçevesi için oluşturulanlarla aynı istismar sayfalarına yönlendirildi ve aşağıdakiler de dahil olmak üzere uzun bir kusur listesini hedef aldı:
- CVE-2022-4262 – Chrome tipi karışıklık güvenlik açığı (istismar anında sıfır gün)
- CVE-2022-3038 – Chrome korumalı alan kaçışı
- CVE-2022-22706 – Sistem erişimi sağlayan ve Ocak 2022’de yama uygulanan Mali GPU Çekirdek Sürücüsü güvenlik açığı (saldırılar sırasında Samsung ürün yazılımında ele alınmamıştır)
- CVE-2023-0266 – Çekirdeğe okuma ve yazma erişimi sağlayan Linux çekirdeği ses alt sistemi yarış durumu güvenlik açığı (sömürü sırasında sıfır gün)
- Açıklardan yararlanma zinciri ayrıca CVE-2022-22706 ve CVE-2023-0266’dan yararlanırken birden çok çekirdek bilgi sızıntısı sıfır gün kullandı.
Sonunda, yararlanma zinciri, çok sayıda sohbet ve tarayıcı uygulamasından verilerin şifresini çözmek ve çıkarmak için tasarlanmış kitaplıklarla tamamlanmış, Android için C++ tabanlı bir casus yazılım paketini başarıyla dağıttı.
Lecigne, her iki kampanyanın da yüksek oranda hedeflendiğini ve saldırganların “düzeltme sürümü ile son kullanıcı cihazlarına tam olarak dağıtıldığı zaman arasındaki büyük zaman aralığından yararlandığını” söyledi.
“Bu kampanyalar ayrıca, tehlikeli bilgisayar korsanlığı araçlarının çoğalmasına olanak tanıyan güvenlik açıkları ve tekniklerin gözetim sağlayıcıları arasında paylaşıldığını gösterebilir.”
Bu istismar zincirlerinin keşfi, Uluslararası Af Örgütü’nün saldırılarda kullanılan alan adları ve altyapıya ilişkin bilgileri de yayınlayan Güvenlik Laboratuvarı tarafından paylaşılan bulgular sayesinde ortaya çıktı.
Uluslararası Af Örgütü bugün ayrı bir raporda, “Yeni keşfedilen casus yazılım kampanyası en az 2020’den beri aktif ve Google’ın Android işletim sistemi kullanıcıları da dahil olmak üzere mobil ve masaüstü cihazları hedefliyor.”
“Casus yazılım ve sıfırıncı gün açıkları, birden fazla ülkedeki medya web sitelerini taklit eden alanlar da dahil olmak üzere 1000’den fazla kötü amaçlı alandan oluşan kapsamlı bir ağdan teslim edildi.”
Casus yazılım satıcısı izleme çabaları
Bu, paralı casus yazılım pazarına göz kulak olmak ve araçlarını insan hakları ve siyasi aktivistlerin, gazetecilerin, politikacıların ve diğer yüksek güvenlikli cihazların savunmasız cihazlarına yüklemek için kullandıkları sıfırıncı gün güvenlik açıklarını takip etmek için devam eden bir çabanın parçasıdır. dünya çapında riskli kullanıcılar.
Google, Mayıs 2022’de, dünya çapında devlet destekli tehdit aktörlerine gözetleme yetenekleri veya istismarları sattığı bilinen değişken düzeylerde kamuoyuna açıklığa ve karmaşıklığa sahip 30’dan fazla satıcıyı aktif olarak izlediğini söyledi.
Kasım 2022’de Google TAG araştırmacıları, Heliconia olarak bilinen ve Chrome, Firefox ve Microsoft Defender güvenlik açıklarını hedefleyen bir istismar çerçevesini Variston IT İspanyol yazılım şirketine bağladığını ortaya çıkardı.
Google’a göre, Haziran 2022’de bazı İnternet Servis Sağlayıcıları (ISS’ler), İtalyan casus yazılım satıcısı RCS Labs’ın İtalya ve Kazakistan’daki Android ve iOS kullanıcılarının cihazlarına ticari gözetim araçları bulaştırmasına yardımcı oldu.
Bir ay önce, Google TAG tarafından, devlet destekli saldırganların Cytrox tarafından geliştirilen Predator casus yazılımını yüklemek için beş sıfır günü istismar ettiği başka bir gözetleme kampanyası gün ışığına çıkarıldı.
29 Mart 10:12 EDT Güncellemesi: Uluslararası Af Örgütü’nün raporundan daha fazla bilgi eklendi.