Hacker spyware

Google の脅威分析グループ (TAG) は、Android、iOS、Chrome のゼロデイおよび n デイ脆弱性を利用して、標的のデバイスに商用のスパイウェアや悪意のあるアプリをインストールするエクスプロイト チェーンをいくつか発見しました。

攻撃者は、2022 年 11 月に発見された最初のキャンペーンの一環として、個別のエクスプロイト チェーンを使用して iOS および Android ユーザーを標的にしました。

彼らは、bit.ly の短縮リンクをプッシュするテキスト メッセージを使用して、被害者をイタリア、マレーシア、およびカザフスタンからの正規の出荷 Web サイトにリダイレクトしました。その後、WebKit のリモート コード実行をゼロデイで悪用するエクスプロイトをトリガーするページに被害者を送信しました ( CVE-2022-42856 )。サンドボックス エスケープ ( CVE-2021-30900 ) バグ。

攻撃者は侵害されたデバイスにペイロードを投下し、被害者の位置を追跡して .IPA ファイルをインストールできるようにしました。

このキャンペーンでは、Chrome GPU サンドボックス バイパス ゼロデイ ( CVE-2022-4135 )、ARM 権限エスカレーション バグ ( CVE-2022-38181 )、および Chrome未知のペイロードを伴うタイプ混同バグ ( CVE-2022-3723 )。

「ARM が CVE-2022-38181 の修正をリリースしたとき、Pixel、Samsung、Xiaomi、Oppo などを含むいくつかのベンダーはパッチを組み込みませんでした。その結果、攻撃者が数か月にわたって自由にバグを悪用できる状況になりました。 」 Google TAG の研究者は次のように述べています

Samsung ユーザーに対する攻撃の第 2 弾

2022 年 12 月、Google TAG の研究者が複数の 0-day および n-day を使用して最新の Samsung Internet Browser バージョンを標的とするエクスプロイト チェーンを発見した後、2 番目のキャンペーンが発見されました。

アラブ首長国連邦 (UAE) からのターゲットは、Variston 商用スパイウェア ベンダーが Heliconia エクスプロイト フレームワーク用に作成したものと同じエクスプロイト ページにリダイレクトされ、次のような多数の欠陥をターゲットにしていました。

  • CVE-2022-4262 – Chrome タイプの混乱の脆弱性 (悪用時のゼロデイ)
  • CVE-2022-3038 – Chrome サンドボックス エスケープ
  • CVE-2022-22706 – システム アクセスを提供する Mali GPU カーネル ドライバーの脆弱性で、2022 年 1 月にパッチが適用されました (攻撃の時点で Samsung ファームウェアでは対処されていません)
  • CVE-2023-0266 – カーネルに読み取りおよび書き込みアクセスを与える Linux カーネル サウンド サブシステムの競合状態の脆弱性 (悪用時のゼロデイ)
  • エクスプロイト チェーンは、CVE-2022-22706 および CVE-2023-0266 を悪用する際に、複数のカーネル情報漏えいゼロデイも使用しました。

最終的に、エクスプロイト チェーンは Android 向けの C++ ベースのスパイウェア スイートの展開に成功しました。このスパイウェア スイートには、多数のチャット アプリやブラウザ アプリからデータを解読して抽出するように設計されたライブラリが含まれています。

Google TAG によると、どちらのキャンペーンも高度に標的を絞っており、攻撃者は「修正プログラムのリリースとエンドユーザーのデバイスに完全に展開されるまでの大きな時間差を利用した」とのことです。

「これらのキャンペーンは、エクスプロイトや技術が監視ベンダー間で共有され、危険なハッキング ツールの拡散を可能にしていることを示している可能性もあります。」

スパイウェア ベンダー追跡の取り組み

これは、商用スパイウェア市場を監視し、人権活動家や政治活動家、ジャーナリスト、政治家、その他の高官の脆弱なデバイスにツールをインストールするために悪用しているゼロデイ脆弱性を追跡するための継続的な取り組みの一環です。世界中の危険なユーザー。

Google は 2022 年 5 月に、世界中の政府が支援する脅威アクターに監視機能やエクスプロイトを販売することが知られているさまざまなレベルの一般公開と巧妙さを持つ 30 以上のベンダーを積極的に追跡していると述べました。

2022 年 11 月、Google TAG の研究者は、Chrome、Firefox、および Microsoft Defender の脆弱性を標的とする Heliconia として知られるエクスプロイト フレームワークを、Variston IT スペインのソフトウェア会社に関連付けたことを明らかにしました

6 月には、一部のインターネット サービス プロバイダー (ISP) がイタリアのスパイウェア ベンダー RCS Labsを支援し、イタリアとカザフスタンの Android および iOS ユーザーのデバイスに商用監視ツールを感染させたと報告しました。

その 1 か月前に、 別の監視キャンペーンがGoogle TAG によって明らかになりました。このキャンペーンでは、国が支援する攻撃者が 5 つのゼロデイを悪用して、Cytrox が開発したスパイウェア Predator をインストールしました。