商业监控软件厂商利用多个0day 攻击安卓和 iOS 设备

研究人员表示，这两起攻击活动影响范围有限且针对性强，利用补丁发布和部署之间的时间差发动攻击。报告指出，“这些厂商可快速传播危险的黑客工具，使政府能够开发无法自研的能力。虽然按照国家或国际法律来说，使用监控技术可能是合法的，但这些技术通常被政府用于攻击异见人士、记者、人权工作人员以及反对党政客。”

在这两起攻击活动中，第一起发生在2022年11月，涉及通过SMS信息向位于意大利、马来西亚和哈萨克斯坦的用户发送短链接。点击这些URL后，用户会被重定向到托管着安卓或 iOS 利用的网页，之后他们才会被重定向至合法的新闻或运输追踪网站。iOS 利用链利用多个漏洞如CVE-2022-42856（当时是0day）、CVE-2021-30900和一个指针认证代码绕过，在可疑设备上安装 .IPA 文件。安卓利用链由CVE-2022-3723、CVE-2022-4135（当时是0day）和CVE-2022-38181 组成，用于传播未指定 payload。虽然影响 Mali GPU 内核驱动的提权漏洞CVE-2022-38181已由 Arm 公司在2022年8月修复，但目前尚不清楚攻击者是否在补丁发布前就已经拥有该漏洞的 exploit。另外值得注意的是，点击该链接并在三星 Internet 浏览器中打开的安卓用户会被通过意图重定向的方法重定向到 Chrome。

第二起攻击发生在2022年12月，由多个0day和nday 组成，用于攻击三星 Internet Browser 的最新版本，exploit 被以一次性链接的方式通过SMS发送到位于阿联酋的设备上。网页类似于西班牙监控软件公司 Variston IT所使用的网页，它最终植入能够从聊天应用和浏览器应用中收割数据的基于C++的恶意工具包中。这些遭利用的漏洞包括 CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266以及CVE-2023-26083。该利用链被指由 Variston 的客户或合作伙伴所使用。

这两起攻击活动和目标的性质情况尚不明朗。

就在几天前，美国政府发布行政令，限制联邦政府机构使用存在国家安全风险的商业监控软件。

研究人员指出，“这些攻击活动说明商业监控软件行业继续发展。即使规模更小的监控厂商也可以访问0day，厂商秘密囤积并利用 0day 为互联网产生严重风险。这些攻击活动还表明，监控厂商之间共享 exploit 和技术，使危险的黑客工具得以传播。”

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~