MKD-CIRT National Centre for Computer Incident Response
Групата за анализа на закани на Google (TAG) откри неколку синџири за експлоатација користејќи Android, iOS и Chrome zero-day и n-day ранливости за инсталирање комерцијален spyware и малициозни апликации на таргетираните уреди.
Напаѓачите ги таргетираа iOS и Android корисниците со посебни синџири за експлоатација како дел од првата кампања забележана во ноември 2022 година.
Тие користеа текстуални пораки bit.ly за да ги пренасочат жртвите на легитимни веб-страници за испорака од Италија, Малезија и Казахстан, откако прво ги испратија на страници што предизвикуваат експлоатирања со злоупотреба на iOS WebKit remote code execution zero-day (CVE-2022-42856) и sandbox escape (CVE-2021-30900).
На компромитирани iOS уреди, хакерите овозможија payload што им помогна да ја следат локацијата на жртвите и да инсталираат .IPA-датотеки.
Како дел од истата кампања, синџирот на експлоатација на Android исто така беше искористен за напад на уреди со графички процесори на ARM со Chrome GPU sandbox bypass zero-day (CVE-2022-4135), ARM privilege escalation bug (CVE-2022-38181), и Chrome type confusion bug (CVE-2022-3723) со непознат payload.
„Кога ARM објави закрпа за CVE-2022-38181, неколку продавачи, вклучително и Pixel, Samsung, Xiaomi, Oppo и други, не ја вградија закрпата, што резултираше напаѓачите слободно да ја искористат грешката неколку месеци. “, изјави Clement Lecigne од Google TAG.
Втората кампања беше забележана во декември 2022 година, откако истражувачите на Google TAG пронајдоа синџир на експлоатација што ги таргетира ажурираните верзии на Samsung Internet прелистувачот користејќи повеќе 0-days и n-days.
Жртвите од Обединетите Арапски Емирати (UAE) беа пренасочени кон експлоатација на страници идентични на оние создадени од Variston spyware продавач за неговата Heliconia рамка за експлоатација и насочени кон долг список на недостатоци, вклучувајќи:
– CVE-2022-4262 – Chrome type confusion ранливост (zero-day во моментот на експлоатација)
– CVE-2022-3038 – Chrome sandbox escape
– CVE-2022-22706 – Mali GPU Kernel Driver ранливост што обезбедува пристап до системот и е закрпена во јануари 2022 година (не адресирана во Samsung фирмверот за време на нападите)
– CVE-2023-0266 – Linux kernel sound subsystem race condition ранливост што овозможува пристап за читање и запишување на кернелот (zero-day во моментот на експлоатација)
Синџирот за експлоатација исто така користеше повеќекратни zero-days за протекување на информации за јадрото при експлоатација на CVE-2022-22706 и CVE-2023-0266.
На крајот, синџирот на експлоатација успешно распореди spyware пакет за Android базиран на C++, комплетен со библиотеки дизајнирани за дешифрирање и извлекување податоци од бројни апликации за разговор и прелистувач.
Откривањето на овие синџири за експлоатација беше поттикнато од наодите споделени од страна на Amnesty International безбедносната лабораторија, која исто така објави информации за домени и инфраструктура користени во нападите.
„Новооткриената кампања за spyware е активна од најмалку 2020 година и ги таргетираше мобилните и десктоп уредите, вклучително и корисниците на Android оперативниот систем“, Amnesty International додаде во посебен извештај денес.
„Spyware и zero-day експлоатите беа испорачани од широка мрежа од повеќе од 1000 малициозни домени, вклучително и домени кои измамуваат медиумски веб-страници во повеќе земји“.
Google во мај 2022 година соопшти дека активно следи повеќе од 30 продавачи со променливи нивоа на јавна изложеност и софистицираност, познати по тоа што продаваат способности за надзор или експлоатации на хакери спонзорирани од владата ширум светот.
Во ноември 2022 година, истражувачите на Google TAG открија дека ја поврзале рамката за експлоатација позната како Heliconia и ги таргетирале пропустите на Chrome, Firefox и Microsoft Defender со шпанската софтверска компанија Variston IT.
Во јуни 2022 година, некои даватели на интернет услуги (ISP) му помогнаа на италијанскиот spyware продавач RCS Labs да ги зарази уредите на Android и iOS корисниците во Италија и Казахстан со алатки за комерцијален надзор, според Google.
Еден месец претходно, уште една кампања за надзор беше откриена од страна на Google TAG, каде хакерите спонзорирани од државата искористија пет zero-days за да инсталираат Predator spyware развиен од страна на Cytrox.
Извор: BleepingComputer