谷歌在意大利、馬來西亞等國發現使用0day漏洞的間諜軟體活動

周三，谷歌的研究人員揭露了兩個有針對性的間諜軟體活動，涉及針對 Android、iOS 和移動版 Chrome 浏覽器的多個0day漏洞攻擊。

研究人員說，一項活動針對意大利、馬來西亞和哈薩克斯坦，而另一項活動則針對阿拉伯聯合酋長國 (UAE)。

谷歌稱這些活動“獨特、有限且針對性強”。谷歌沒有具體說明間諜軟體的來源，但表示這些事件說明了監控工具市場的規模。

“這些活動提醒人們，商業間諜軟體行業繼續蓬勃發展。甚至更小的監控供應商也可以通路0day漏洞，供應商秘密儲存和使用0day漏洞對網際網路構成嚴重風險。”谷歌的威脅分析小組（TAG）在一篇部落格文章（https://blog.google/threat-analysis-group/spyware-vendors-use-0-days-and-n-days-against-popular-platforms/）中說。

谷歌沒有回答有關可能涉及哪些政府或威脅組織、受害者是誰或有多少人受到影響的一系列問題。這兩個活動都是在 2022 年底被發現的。

直到 2022 年下半年，安全研究人員才知道間諜軟體利用的許多漏洞，這意味着在黑客開始利用它們之前，公司沒有時間來修補它們。谷歌表示，Android、Apple 的 iOS 和 Chrome 中的漏洞已經得到修複。

研究人員說：“這些活動還可能表明，監控供應商正在共享漏洞利用和技術，進而導緻危險的黑客工具擴散。”

2022年11月的攻擊活動

在 2022 年 11 月确定的一次活動中，黑客安裝了一個工具，使他們能夠跟蹤意大利、馬來西亞和哈薩克斯坦的裝置位置。TAG 研究人員發現，黑客通過 SMS 發送的 bit.ly 連結将間諜軟體傳送到 Android 和 Apple 裝置。

當受害者點選這些連結時，他們會被帶到一個網頁，該網頁為任一品牌的裝置安裝了間諜軟體，然後被重定向到意大利貨運和物流公司 BRT 的“跟蹤貨運”頁面或一個受歡迎的馬來西亞新聞網站。

brt-page.png間諜軟體活動中使用的合法“跟蹤貨運”頁面

對于使用 Apple 裝置的受害者，該惡意軟體利用了漏洞 CVE-2022-42856，該漏洞已被修補但當時未知。這些攻擊針對的是使用 iOS 15.1 之前版本的使用者。黑客還針對 CVE-2021-30900，這是Apple在 15.1 中修複的另一個漏洞。

使用 Android 裝置的受害者通過三種不同的攻擊方式成為攻擊目标，其中包括一次0Day漏洞攻擊。黑客使用了CVE-2022-3723 ——這是由Avast 的研究人員發現的一個漏洞，谷歌在 2022 年 10 月修複了這個漏洞——以及另外兩個漏洞：CVE-2022-4135和CVE-2022-38181。

CVE-2022-4135 是影響 Android 裝置的0day漏洞，已于 2022 年 11 月修複，CVE-2022-38181 是影響英國半導體和軟體設計公司 ARM 産品的漏洞。

ARM 于 2022 年 8 月修補了該漏洞，但谷歌 TAG 研究人員不确定攻擊者是否在将漏洞報告給 ARM 之前利用了該漏洞。

“當 ARM 釋出針對 CVE-2022-38181 的修複程式時，包括 Pixel、三星、小米、Oppo 等在内的多家供應商都沒有整合該更新檔，導緻攻擊者能夠在幾個月内自由利用該漏洞。”ARM晶片的這個漏洞最近在Project Zero和Github Security Lab的部落格文章中再次被強調。

針對阿拉伯聯合酋長國的攻擊

研究人員表示，第二次活動于 2022 年 12 月被發現，其目标是安裝間諜軟體套件，使黑客能夠解密資料并從各種聊天服務和浏覽器應用程式中竊取資訊。它針對在阿拉伯聯合酋長國 (UAE) 使用的裝置，并涉及多個針對最新版本三星網際網路浏覽器的0day漏洞。

研究人員說，與另一項活動一樣，這一活動針對的是發送短信的人。該連結将受害者帶到一個登陸頁面，該頁面與谷歌之前一份關于西班牙商業間諜軟體供應商 Variston 的報告中确定的頁面相同。

研究人員表示：“使用漏洞利用鍊針對阿聯酋使用者的攻擊者可能是 Variston 的客戶或合作夥伴，或者與間諜軟體供應商密切合作。”

黑客利用了四個漏洞：CVE-2022-4262、CVE-2022-3038、CVE-2022-22706和CVE-2023-0266。所有四個都已修補。

在博文中，谷歌表示已将所有漏洞報告給蘋果、三星、ARM 和其他受影響的供應商，所有這些供應商都迅速做出了回應。谷歌稱贊國際特赦組織的安全實驗室幫助揭露了阿聯酋的這場運動。

有關組織呼籲“全球暫停銷售、轉讓和使用間諜軟體，直到強有力的人權監管保障措施到位，否則複雜的網絡攻擊将繼續被用作鎮壓活動家和記者的工具。”谷歌還指出，這些活動強調了打更新檔的重要性，因為“如果他們運作的是完全更新的裝置”，許多受害者就不會受到漏洞利用鍊的影響。

危險的發展

谷歌警告說，分享漏洞利用和技術是一種危險的發展，因為它們通常“被用來針對特定目标”。

研究人員解釋說：“0day漏洞與 nday 漏洞一起使用，并利用了修複釋出與完全部署到最終使用者裝置之間的巨大時間差。”

參考連結：https://therecord.media/spyware-google-italy-malaysia-kazakhstan-uae