查看原文
其他

谷歌:用于部署监控软件的 Windows 利用框架与这家公司有关

Sergiu Gatlan 代码卫士 2022-12-22

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌威胁分析团队 (TAG) 指出,西班牙软件公司Variston IT 提供的一个利用框架和现已修复的位于 Chrome、Firefox web 浏览器和微软 Defender 安全应用中的多个漏洞之间存在关联。

该团队指出,Variston IT公司和其它商业监控厂商一样,并非其官方声称的那样仅仅提供定制化安全解决方案。

谷歌 TAG 团队的研究员 Clement Lecigne 和 Benoit Sevens 在本周三提到,“今天,我们继续披露关于一个可能与 Varison IT 公司相关的利用框架。这家公司声称是定制化安全解决方案提供商。他们提供的 Heliconia 框架利用了位于Chrome、Firefox 和微软 Defender 中的多个 nday 漏洞,并提供所有必需工具,在目标设备上部署 payload。”

该利用框架由多个组件构成,每个组件都针对目标设备上软件中的具体安全漏洞:

  • Heliconia Noise一个web框架,用于部署Chrome 渲染 bug 利用,之后部署Chrome 沙箱投医,在目标设备上安装代理。

  • Heliconia Soft一个 web 框架,部署包含Windows Defender exploit CVE-2021-42298的PDF。

  • Heliconia Files适用于 Linux 和 Windows 的一系列Firefox 利用,编号为CVE-2022-26485。

对于 Heliconia Noise 和 Heliconia Soft 而言,这些利用将最终在受陷设备上部署名为 “agent_simple” 的代理。然而,分析该框架的样本发现,该框架中包含一个在无需执行任何恶意代码就运行并退出的代理。谷歌认为该框架的客户提供自己的代理或它是研究员无法访问的另外一个项目的组成部分。

即使目前尚未有证据表明这些安全漏洞已遭活跃利用,且谷歌、Mozilla和微软在2021年以及2022年末就已修复这些漏洞,但研究人员表示,“这些漏洞可能是已遭在野利用的0day。”

Variston IT 公司尚未就此事置评。

谷歌追踪监控厂商

今年6月份,谷歌TAG团队也提到意大利监控软件厂商 RCS Labs 在某些互联网服务提供商的帮助下,在意大利和哈萨克斯坦安卓和iOS 用户设备上部署商用监控工具。

在这些攻击活动中,目标被提示在路过式下载过程中安装伪装成合法移动运营商应用的恶意应用,以便在ISP切断用户的网络后重新连网。

一个月之后,谷歌TAG团队披露了另外一起监控活动,攻击者利用五个0day 安装由商用监控开发者 Cytrox 开发的 Predator 监控软件。当时谷歌称正在积极追踪30多个厂商,这些厂商公开程度和复杂程度不同,都在向受政府支持的威胁组织或行动者出售监控能力或利用。

谷歌TAG团队指出,“监控软件行业的增长将用户置于风险之中且导致互联网的安全性降低,而且虽然按照国家法律或国际法律来说该监控技术是合法的,但它们通常被滥用于对某些组织的数字化间谍活动中。这些滥用对网络安全造成严重风险,而这也是谷歌和TAG继续对商用监控软件公司采取相关措施并发布相关报告的原因所在。”



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
谷歌三星安卓摄像头应用含高危漏洞变身监控器,影响数亿设备(PoC)
美国国防部和谷歌合作分析无人机监控录像
谷歌发现隐藏3年之久的安卓监控软件Chrysaor



原文链接

https://www.bleepingcomputer.com/news/security/google-discovers-windows-exploit-framework-used-to-deploy-spyware/


题图:Pexels License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存