这两个不同的活动都有很强的针对性,利用补丁发布与目标设备上实际修复之间的时间差。
TAG Clement Lecigne在报告中指出,这些供应商通过扩散具有攻击性的工具,来武装那些无法在内部开发这些能力的政府及组织。
根据国家或国际法律,虽然部分监控技术的使用是合法的,但人们经常发现,有关政府利用这些技术来监控不同政见者、记者、人权工作者和反党人士。
这两次恶意活动,第一次发生在2022年11月,通过短信向位于意大利、马来西亚和哈萨克斯坦的用户发送短链接。点击后,这些URL将收件人重定向到承载安卓或iOS漏洞的网页,然后他们又被重定向到合法的新闻或货运追踪网站。
iOS的漏洞链利用了多个漏洞,包括CVE-2022-42856(当时的零日)、CVE-2021-30900和一个指针认证代码(PAC)绕过,将一个.IPA文件安装到易受影响的设备上。
安卓系统的漏洞链包括三个漏洞--CVE-2022-3723、CVE-2022-4135(滥用时为零日)和CVE-2022-38181以传递一个未指定的有效载荷。
虽然CVE-2022-38181是一个影响Mali GPU内核驱动的特权升级漏洞,在2022年8月被Arm打了补丁,但对方可能在补丁发布之前已经掌握了该漏洞的利用方法。
另一点值得注意的是,在三星浏览器中打开链接的安卓用户,会被重新定向到Chrome。
第二个活动是在2022年12月观察到的,包括几个针对三星浏览器最新版本的零日和n日,这些漏洞通过短信作为一次性链接发送到位于阿联酋的设备。
该网页与西班牙间谍软件公司Variston IT使用的网页类似,都植入了一个基于C++的恶意工具包,能够从聊天和浏览器应用程序中获取数据。
被利用的漏洞包括CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266和CVE-2023-26083。
目前,这两个活动的规模和目标还不清楚。
在拜登签署“限制使用商业间谍软件”的行政命令几天后,这些消息就被披露出来。足以见得,商业间谍软件行业任然在蓬勃发展。监控供应商之间正在分享漏洞和技术,即使是较小的监控供应商也能获得零日漏洞。供应商秘密储存和使用零日漏洞在短时间内对互联网仍构成严重的风险。
参考链接:thehackernews.com/2023/03/spyware-vendors-caught-exploiting-zero.html