谷歌TAG表示,这家总部位于巴塞罗那的软件公司虽然官方宣称是一家安全解决方案提供商,但其实也从事商业监控活动。
该公司使用Heliconia 框架,利用了 Chrome、Firefox 和 Microsoft Defender 中的 N-day 漏洞,提供了将有效载荷部署到目标设备所需的所有工具。该利用框架由多个组件组成,每个组件都针对目标设备软件中的特定安全漏洞:
- Heliconia Noise:一个 Web 框架,用于部署 Chrome 渲染器错误利用,以及 Chrome 沙箱逃逸以在目标设备上安装代理
- Heliconia Soft:一个部署包含 Windows Defender 漏洞的 PDF Web 框架,被跟踪为 CVE-2021-42298
- Heliconia 文件:一组针对 Linux 和 Windows 的 Firefox 漏洞利用,其中一个被跟踪为 CVE-2022-26485
对于 Heliconia Noise 和 Heliconia Soft,这些漏洞最终会在受感染的设备上部署名为“agent_simple”的代理。
TAG分析了一个包含虚拟代理的框架样本,得到的结果是在运行和退出的情况下未执行任何恶意代码,认为该框架的客户提供了他们自己的代理,或者是谷歌没有权限访问整个框架。
尽管没有证据表明目标安全漏洞被积极利用,并且谷歌、Mozilla 和微软在 2021 年和 2022 年初修补了这些漏洞,但TAG 表示这些漏洞很可能在野外被用作零日漏洞。
对间谍软件供应商的跟踪
TAG 属于谷歌旗下的安全专家团队,专注于保护谷歌用户免受国家支持的网络攻击,但团队也跟踪了数十家从事间谍或监视服务的公司。
2022年6 月,TAG 注意到意大利间谍软件供应商 RCS Labs在一些互联网服务提供商 (ISP) 的帮助下,在意大利和哈萨克斯坦的 Android 和 iOS 用户的设备上部署了商业监控工具。期间,目标用户被提示安装伪装成合法移动运营商应用的监控软件。
最近,TAG 揭露了另一场监视活动,受国家支持的攻击者利用五个零日漏洞,在目标设备上安装商业间谍软件开发商 Cytrox 开发的 Predator 间谍软件。
TAG表示,间谍软件行业的发展使用户处于危险之中,并降低了互联网的安全性,虽然根据国家或国际法律,监控技术可能是合法的,但它们经常以有害的方式被用来对一系列群体进行数字间谍活动。
参考来源:https://www.bleepingcomputer.com/news/security/google-discovers-windows-exploit-framework-used-to-deploy-spyware/