Израильский производитель шпионских программ Candiru был уличен в использовании уязвимости нулевого дня в Google Chrome для шпионажа за журналистами и другими высокопоставленными лицами на Ближнем Востоке с помощью шпионской программы ‘DevilsTongue’.
Дефект, отслеживаемый как CVE-2022-2294, представляет собой серьезное переполнение буфера на основе кучи в WebRTC, которое, в случае успешной эксплуатации, может привести к выполнению кода на целевом устройстве.
Когда 4 июля Google исправила «нулевой день», она сообщила, что дефект активно эксплуатируется, но не предоставила никаких дополнительных подробностей.
В опубликованном сегодня отчете исследователи угроз компании Avast, которые обнаружили уязвимость и сообщили о ней Google, рассказали, что обнаружили ее после расследования шпионских атак на своих клиентов.
Множество кампаний и способов доставки
По данным Avast, Candiru начал эксплуатировать CVE-2022-2294 в марте 2022 года, нацелившись на пользователей в Ливане, Турции, Йемене и Палестине.
Операторы шпионского ПО использовали обычную тактику атаки «водяная яма»: они компрометировали веб-сайт, который посетит их цель, и использовали неизвестную уязвимость в браузере, чтобы заразить ее шпионским ПО.
Эта атака особенно опасна, поскольку не требует от жертвы никакого взаимодействия, например, нажатия на ссылку или загрузки чего-либо. Вместо этого достаточно открыть сайт в Google Chrome или другом браузере на базе Chromium.
Эти сайты могут быть либо легитимными, но каким-то образом взломанными, либо созданными субъектами угрозы и продвигаемыми с помощью фишинга или других методов.
В одном случае злоумышленники взломали сайт, используемый информационным агентством в Ливане, и подложили фрагменты JavaScript, которые позволяли проводить атаки XXS (межсайтовый скриптинг) и перенаправлять действительные цели на сервер эксплойтов.
После того как жертвы попадали на сервер, их подробно профилировали, используя около 50 точек данных. Если цель считалась подходящей, устанавливался зашифрованный обмен данными для осуществления эксплойта нулевого дня.
«Собранная информация включает язык жертвы, часовой пояс, информацию об экране, тип устройства, плагины браузера, реферер, память устройства, функциональность cookie и многое другое», — поясняется в отчете Avast.
В случае с Lebanon «нулевой день» позволил злоумышленникам добиться выполнения шеллкода внутри процесса рендеринга и был дополнительно связан с дефектом выхода из песочницы, который Avast не смог восстановить для анализа.
Поскольку дефект находился в WebRTC, он также затронул браузер Safari от Apple. Однако эксплойт, обнаруженный Avast, работал только на Windows.
После первоначального заражения DevilsTongue использовал BYOVD («принеси свой собственный драйвер») для повышения своих привилегий и получения доступа на чтение и запись к памяти скомпрометированного устройства.
Постоянная угроза шпионских программ
Поставщики коммерческих шпионских программ известны тем, что разрабатывают или покупают эксплойты нулевого дня для атак на лиц, представляющих интерес для их клиентов.
В последний раз, когда Candiru был разоблачен Microsoft и Citizen Lab, фирма отказалась от всех операций DevilsTongue и работала в тени, чтобы внедрить новые эксплойты нулевого дня, как теперь выясняет Avast.
К сожалению, это также означает, что то же самое произойдет снова, поэтому даже если вы немедленно применяете обновления безопасности, это не делает вас неуязвимым для коммерческих шпионских программ.
Для решения этой проблемы Apple планирует ввести в iOS 16 новую функцию под названием «Режим блокировки», которая ограничивает возможности и функциональность устройства, чтобы предотвратить утечку конфиденциальных данных или минимизировать последствия заражения шпионским ПО.