Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Google: поставщики коммерческого шпионского ПО имеют доступ к эксплойтам нулевого дня

30/03/23

hack92-Mar-30-2023-10-37-43-0675-AM
 
Команда Google TAG сообщает , что поставщики коммерческого шпионского ПО использовали несколько исправленных 0day-уязвимостей для атак на устройства Android и iOS.

Две отдельные кампании были ограниченными и узконаправленными, в них использовался разрыв между выпуском исправления и моментом его фактического развертывания на целевых устройствах. Масштабы кампаний и характер целей в настоящее время неизвестны, пишет Securitylab.

Первая кампания проходила в ноябре 2022 года и заключалась в отправке сокращенных ссылок в SMS-сообщениях пользователям в Италии, Малайзии и Казахстане. При нажатии на ссылку URL-адреса перенаправляли жертв на заражённые сайты, на которых размещены эксплойты для Android или iOS, а затем пользователи перенаправлялись на легитимные новостные сайты или сайты отслеживания почтовых отправлений.

  • Цепочка эксплойтов iOS использовала несколько уязвимостей – CVE-2022-42856 , CVE-2021-30900 и атаку PACMAN для установки IPA-файла на устройство.
  • Цепочка эксплойтов для Android состояла из трех ошибок – CVE-2022-3723 , CVE-2022-4135 и CVE-2022-38181 — для доставки полезной нагрузки, которую экспертам определить не удалось.

Вторая кампания происходила в декабре 2022 года и состояла из нескольких нулевых дней в браузере Samsung, при этом эксплойты доставлялись через ссылки в SMS на устройства, расположенные в ОАЭ.

Ссылка ввела на сайт, похожий на сайт поставщика шпионского ПО из Испании Variston IT, которого Google TAG обвиняла в разработке набора хакерских инструментов Heliconia . Вредоносный сайт доставлял на устройства шпионский инструмент на основе C++, способный собирать данные из чатов и браузеров.

  • В операции эксплуатировались уязвимости CVE-2022-4262 , CVE-2022-3038 , CVE-2022-22706 , CVE-2023-0266 и CVE-2023-26083 . Эксперты предполагают, что цепочка эксплойтов использовалась клиентом или партнером Variston IT.

Исследователи заключили, что две обнаруженные кампании — напоминание о том, что индустрия коммерческого шпионского ПО продолжает процветать. Даже мелкие поставщики средств видеонаблюдения имеют доступ к нулевым дням. Кампании могут также указывать на то, что поставщики систем видеонаблюдения обмениваются эксплойтами и методами взлома, способствуя распространению опасных хакерских инструментов.

Темы:GoogleИсследованиеПреступлениякибершпионаж0Day-уязвимостигосударственная слежка
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...