谷歌：用于部署监控软件的 Windows 利用框架与这家公司有关

该团队指出，Variston IT公司和其它商业监控厂商一样，并非其官方声称的那样仅仅提供定制化安全解决方案。

谷歌 TAG 团队的研究员 Clement Lecigne 和 Benoit Sevens 在本周三提到，“今天，我们继续披露关于一个可能与 Varison IT 公司相关的利用框架。这家公司声称是定制化安全解决方案提供商。他们提供的 Heliconia 框架利用了位于Chrome、Firefox 和微软 Defender 中的多个 nday 漏洞，并提供所有必需工具，在目标设备上部署 payload。”

该利用框架由多个组件构成，每个组件都针对目标设备上软件中的具体安全漏洞：

• Heliconia Noise：一个web框架，用于部署Chrome 渲染 bug 利用，之后部署Chrome 沙箱投医，在目标设备上安装代理。

• Heliconia Soft：一个 web 框架，部署包含Windows Defender exploit CVE-2021-42298的PDF。

• Heliconia Files：适用于 Linux 和 Windows 的一系列Firefox 利用，编号为CVE-2022-26485。

对于 Heliconia Noise 和 Heliconia Soft 而言，这些利用将最终在受陷设备上部署名为 “agent_simple” 的代理。然而，分析该框架的样本发现，该框架中包含一个在无需执行任何恶意代码就运行并退出的代理。谷歌认为该框架的客户提供自己的代理或它是研究员无法访问的另外一个项目的组成部分。

即使目前尚未有证据表明这些安全漏洞已遭活跃利用，且谷歌、Mozilla和微软在2021年以及2022年末就已修复这些漏洞，但研究人员表示，“这些漏洞可能是已遭在野利用的0day。”

Variston IT 公司尚未就此事置评。

今年6月份，谷歌TAG团队也提到意大利监控软件厂商 RCS Labs 在某些互联网服务提供商的帮助下，在意大利和哈萨克斯坦安卓和iOS 用户设备上部署商用监控工具。

在这些攻击活动中，目标被提示在路过式下载过程中安装伪装成合法移动运营商应用的恶意应用，以便在ISP切断用户的网络后重新连网。

一个月之后，谷歌TAG团队披露了另外一起监控活动，攻击者利用五个0day 安装由商用监控开发者 Cytrox 开发的 Predator 监控软件。当时谷歌称正在积极追踪30多个厂商，这些厂商公开程度和复杂程度不同，都在向受政府支持的威胁组织或行动者出售监控能力或利用。

谷歌TAG团队指出，“监控软件行业的增长将用户置于风险之中且导致互联网的安全性降低，而且虽然按照国家法律或国际法律来说该监控技术是合法的，但它们通常被滥用于对某些组织的数字化间谍活动中。这些滥用对网络安全造成严重风险，而这也是谷歌和TAG继续对商用监控软件公司采取相关措施并发布相关报告的原因所在。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。