圖片來源: 

original photo by Denny Müller on unsplash

Google安全分析小組(Threat Analysis Group,TAG)本周公布了5個遭到以色列資安業者Cytrox開採的安全漏洞,用以植入Predator間諜程式,並藉此展開3波的攻擊行動。

TAG隸屬於Google Zero專案(Project Zero),負責追蹤涉及不實資訊活動、政府支撐的駭客行動,以及基於財務動機的威脅組織,在2021年時總計發現了9個零時差漏洞,去年公布了其中4個的細節,本周再接再厲公布了另外5個,而它們全都遭到Cytrox利用。

Cytrox所開發的5個零時差漏洞分別是位於Chrome瀏覽器中的CVE-2021-37973、CVE-2021-37976、CVE-2021-38000與CVE-2021-38003,以及出現在Android的CVE-2021-1048,Cytrox創造了開採上述漏洞的攻擊程式,並鎖定Android用戶展開攻擊以植入Predator間諜程式。

根據CitizenLab的評估,向Cytrox購買相關攻擊程式的國家包括埃及、亞美尼亞、希臘、馬達加斯加、象牙海岸、塞爾維亞、西班牙與印尼等。且為了讓Predator進駐受害者手機,除了利用零時差漏洞之外,Cytrox也藉由修補空窗期,輔以已知漏洞的攻擊程式來提高成功率,讓更多缺乏先進技術的各國政府得以擴大其監控能力。

值得注意的是,在TAG去年發現的9個零時差漏洞中,就有7個是由Cytrox這類所謂的資安傭兵所開採,而且光是TAG目前正在追蹤的資安傭兵就超過30家。

其中,第一次攻擊發生在去年8月,只利用了CVE-2021-38000漏洞,隔月的攻擊串連了CVE-2021-37973與CVE-2021-37976漏洞,第三次攻擊出現在10月,串連CVE-2021-38003及CVE-2021-1048漏洞。

在利用這5個零時差漏洞所發動的3次攻擊中,其手法是雷同的,都是透過電子郵件遞送模仿短網址的一次性連結予Android用戶,且3次攻擊所針對的目標用戶都只有數十位,一旦使用者點選了連結,在連至合法網站之前,就會先被導至駭客所擁有的網域以植入開採程式。

這3次的攻擊行動都是先遞送Android惡意程式Alien,再由Alien載入間諜程式Predator,後者可用來錄製裝置上的聲音、添加CA憑證及藏匿程式等。


熱門新聞

Advertisement