Hacking

Google の脅威分析グループ (TAG) は、Chrome および Firefox の Web ブラウザーと Microsoft Defender セキュリティ アプリの現在パッチが適用されている脆弱性を標的とするエクスプロイト フレームワークをスペインのソフトウェア会社に関連付けました。

TAG は、政府が支援する攻撃から Google ユーザーを保護することに重点を置いた Google のセキュリティ専門家チームですが、政府が監視ツールを使用して反体制派、ジャーナリスト、政敵をスパイすることを可能にする数十の企業も追跡しています。

検索の巨人は、バルセロナに本拠を置くソフトウェア会社は、これらの商用監視ベンダーの 1 つであり、公式に主張しているように、カスタム セキュリティ ソリューションの単なるプロバイダーではないと述べています。

Google TAG の Clement Lecigne 氏と Benoit Sevens 氏は次のように述べています。水曜日。

「同社の Heliconia フレームワークは、Chrome、Firefox、および Microsoft Defender の n-day 脆弱性を悪用し、ペイロードをターゲット デバイスに展開するために必要なすべてのツールを提供します。」

悪用フレームワークは複数のコンポーネントで構成されており、それぞれが標的のデバイス上のソフトウェアの特定のセキュリティ上の欠陥を標的としています。

  • Heliconia Noise: Chrome レンダラー バグ エクスプロイトを展開し、続いて Chrome サンドボックス エスケープを展開して、標的のデバイスにエージェントをインストールするための Web フレームワーク
  • Heliconia Soft: CVE-2021-42298 として追跡されている Windows Defender エクスプロイトを含む PDF を展開する Web フレームワーク
  • Heliconia Files : Linux および Windows 向けの Firefox エクスプロイトのセットで、CVE-2022-26485 として追跡されています。

Heliconia Noise と Heliconia Soft の場合、エクスプロイトは最終的に、侵害されたデバイスに「agent_simple」という名前のエージェントを展開します。

ただし、Google が分析したこのフレームワークのサンプルには、悪意のあるコードを実行せずに実行および終了するダミー エージェントが含まれていました。

Google は、フレームワークの顧客が独自のエージェントを提供しているか、アクセスできない別のプロジェクトの一部であると考えています。

標的となったセキュリティ脆弱性が積極的に悪用された形跡はなく、Google、Mozilla、Microsoft は 2021 年と 2022 年初頭にパッチを適用しましたが、Google TAG は「これらは実際にゼロデイとして利用された可能性が高いようです」と述べています。

Variston IT のスポークスパーソンは、本日以前に連絡を受けたとき、すぐにはコメントできませんでした。

Google のスパイウェア ベンダー追跡の取り組み

同社の TAG チームは 6 月、 イタリアのスパイウェア ベンダーである RCS Labs が、一部のインターネット サービス プロバイダー (ISP) の支援を受けて、イタリアとカザフスタンの Android および iOS ユーザーのデバイスに商用監視ツールを展開したことも明らかにしました。

攻撃中、ターゲットは、ISP の助けを借りてインターネット接続が切断された後、オンラインに戻るためにドライブバイダウンロードで悪意のあるアプリ (正規のモバイル キャリア アプリに偽装) をインストールするように求められました。

その 1 か月前、 Google TAG は別の監視キャンペーンを公開しました。このキャンペーンでは、国家支援の攻撃者が 5 つのゼロデイ バグを悪用して、商用スパイウェア開発者 Cytrox が開発した Predator スパイウェアをインストールしました。

Google は当時、政府が支援する脅威グループや攻撃者に監視機能やエクスプロイトを販売するさまざまなレベルの一般公開と洗練度を備えた 30 を超えるベンダーを積極的に追跡していると述べていました。

「スパイウェア産業の成長は、ユーザーを危険にさらし、インターネットの安全性を低下させます。監視技術は国内法または国際法の下では合法である可能性がありますが、さまざまなグループに対してデジタルスパイ活動を行うために有害な方法で使用されることがよくあります」と Google は述べています。本日タグ追加。

「これらの悪用は、オンラインの安全性に対する深刻なリスクを表しています。そのため、Google と TAG は商用スパイウェア業界に対して引き続き行動を起こし、調査結果を公開します。」