惡意網站範例截圖

Google追蹤商業間諜軟體供應商,揭露兩大結合運用多個零時差漏洞與既有漏洞(N-day)的間諜活動,這些極具針對性的活動鎖定Android、iOS和Chrome熱門平臺,Google提到,根據他們的調查,商業監控供應商現在技術力提升,也擁有過去只有政府層級才能開發和操作漏洞的能力。

第一個間諜活動被稱為「Your missed parcel」,Google發現透過使用Android和iOS的零時差漏洞利用鏈,惡意攻擊者可以發送短訊息給位於義大利、馬來西亞和哈薩克的用戶,訊息內的連結會將用戶導向惡意頁面,之後再重新導向到諸如貨運或是物流公司的合法頁面。

在iOS上,惡意頁面使用WebKit遠端程式碼執行漏洞CVE-2022-42856,以及沙盒逃逸和特權提升漏洞CVE-2021-30900,在iOS上安裝惡意Stager打開後門,回傳裝置的GPS位置,並且讓攻擊者可以於裝置安裝惡意程式。

而Android則需要用到Arm GPU手機上Chrome 106之前版本的漏洞,用到的漏洞包括類型混淆漏洞CVE-2022-3723、Chrome GPU旁路漏洞CVE-2022-4135、Arm特權提升漏洞CVE-2022-38181,而對三星用戶,網站還會透過意圖重新導向功能(Intent Redirection)從三星網際網路瀏覽器打開Chrome。用戶更新到Chrome 108便能免於受到攻擊。

第二個間諜活動,則是針對三星網際網路瀏覽器的漏洞入侵鏈,惡意攻擊者同樣是透過短訊發送一次性連結,到位於阿聯酋的裝置,將用戶導向到一個頁面,該頁面使用商業間諜軟體供應商Variston所開發的Heliconia框架,而漏洞利用鏈使用了一個以C++開發,且功能齊全的Android間諜軟體套件,包括可以解密和擷取各種聊天和瀏覽器應用程式資料的函式庫,進而追蹤受害者的社交和網頁瀏覽行為。

這個活動主要影響使用Chromium 102版本的三星瀏覽器,惡意攻擊者總共使用了6個漏洞,包括Chrome的類型混淆漏洞CVE-2022-4262、沙盒逃逸漏洞CVE-2022-3038,以及Mali GPU核心驅動程式授予攻擊者存取系統權限的CVE-2022-22706漏洞,還有提供攻擊者核心讀寫存取權限的Linux核心聲音子系統漏洞CVE-2023-0266,惡意攻擊者也利用了多個核心資訊洩漏漏洞,包括CVE-2022-22706和CVE-2023-0266。

每一個漏洞軟體原廠皆已修復,但可能因為修復時間差,或是因為版本更新節奏的關係,供應商並沒有及時修補程式,使得攻擊者有機可乘。透過結合零時差漏洞和既有漏洞,商業間諜軟體供應商能夠開發追蹤用戶的工具,Google提到,這些供應商向政府出售漏洞技術和監控功能,使政府能夠追蹤異議份子、記者、人權工作者和反對黨政客。

熱門新聞

Advertisement