Google: поставщики коммерческого шпионского ПО имеют доступ к эксплойтам нулевого дня – Люди PRO Media

Google: поставщики коммерческого шпионского ПО имеют доступ к эксплойтам нулевого дня

Команда Google TAG сообщает, что поставщики коммерческого шпионского ПО использовали несколько исправленных 0day-уязвимостей для атак на устройства Android и iOS.

Две отдельные кампании были ограниченными и узконаправленными, в них использовался разрыв между выпуском исправления и моментом его фактического развертывания на целевых устройствах. Масштабы кампаний и характер целей в настоящее время неизвестны.

Первая кампания проходила в ноябре 2022 года и заключалась в отправке сокращенных ссылок в SMS-сообщениях пользователям в Италии, Малайзии и Казахстане. При нажатии на ссылку URL-адреса перенаправляли жертв на заражённые сайты, на которых размещены эксплойты для Android или iOS, а затем пользователи перенаправлялись на легитимные новостные сайты или сайты отслеживания почтовых отправлений.

  • Цепочка эксплойтов iOS использовала несколько уязвимостей – CVE-2022-42856 , CVE-2021-30900 и атаку PACMAN для установки IPA-файла на устройство.
  • Цепочка эксплойтов для Android состояла из трех ошибок – CVE-2022-3723 , CVE-2022-4135 и CVE-2022-38181 – для доставки полезной нагрузки, которую экспертам определить не удалось.

Вторая кампания происходила в декабре 2022 года и состояла из нескольких нулевых дней в браузере Samsung, при этом эксплойты доставлялись через ссылки в SMS на устройства, расположенные в ОАЭ.

Ссылка ввела на сайт, похожий на сайт поставщика шпионского ПО из Испании Variston IT, которого Google TAG обвиняла в разработке набора хакерских инструментов Heliconia . Вредоносный сайт доставлял на устройства шпионский инструмент на основе C++, способный собирать данные из чатов и браузеров.

  • В операции эксплуатировались уязвимости CVE-2022-4262 , CVE-2022-3038 , CVE-2022-22706 , CVE-2023-0266 и CVE-2023-26083 . Эксперты предполагают, что цепочка эксплойтов использовалась клиентом или партнером Variston IT.

Правозащитная организация Amnesty International охарактеризовала декабрьскую кампанию как «передовую и изощренную» и что эксплойт «разработан коммерческой компанией по кибернаблюдению и продан правительственным хакерам для проведения целевых шпионских атак».

По словам Amnesty International, шпионское ПО и эксплойты доставлялись из сети, состоящей из более 1000 вредоносных доменов, включая домены, имитирующие сайты с медиаконтентом в разных странах.

Исследователи заключили, что две обнаруженные кампании – напоминание о том, что индустрия коммерческого шпионского ПО продолжает процветать. Даже мелкие поставщики средств видеонаблюдения имеют доступ к нулевым дням. Кампании могут также указывать на то, что поставщики систем видеонаблюдения обмениваются эксплойтами и методами взлома, способствуя распространению опасных хакерских инструментов.

Источник: securitylab.ru

Свежий выпуск «Люди PRO»

Свежий выпуск «Мультичела»

Читайте также