Chrome 0 day漏洞被用于監(jiān)控活動
Chrome 0 day漏洞被用于Candiru監(jiān)控惡意軟件�。
研究人員發(fā)現(xiàn)以色列監(jiān)控軟件廠商Candiru使用谷歌Chrome 瀏覽器0 day漏洞來監(jiān)控位于中東地區(qū)的記者和特殊人群�����。
CVE-2022-2294漏洞是Chrome瀏覽器中WebRTC的基于堆的緩存溢出高危安全漏洞�,成功利用該漏洞后可以在目標設(shè)備上實現(xiàn)任意代碼執(zhí)行���。
7月4日�,谷歌修復(fù)了該0 day漏洞�,并稱該漏洞已經(jīng)有在野漏洞利用,但未提供漏洞利用的進一步細節(jié)���。
7月21日��,發(fā)現(xiàn)該漏洞的安全廠商Avast發(fā)布公開報告分析了該漏洞的利用情況��。Avast稱經(jīng)過分析發(fā)現(xiàn)�,Candiru自2022年3月就開始利用該漏洞攻擊位于黎巴嫩、土耳其����、也門和巴勒斯坦的用戶。
在攻擊活動中���,Candiru使用了水坑攻擊技術(shù)�,用戶訪問被黑的網(wǎng)站后就會利用瀏覽器中的未知漏洞來感染監(jiān)控惡意軟件����。
整個攻擊過程是無需交互的。唯一需要做的是用Chrome瀏覽器或基于Chromium的瀏覽器打開一個網(wǎng)站��。打開的網(wǎng)站可以是被入侵的合法網(wǎng)站����,也可以是攻擊者自己創(chuàng)建的網(wǎng)站。
在一起攻擊活動中�����,攻擊者入侵了黎巴嫩新聞機構(gòu)的網(wǎng)站��,并植入了一段JS代碼。代碼可以發(fā)起XSS攻擊��,并重路由有效目標到利用服務(wù)器���。
圖 注入代碼來從遠程資源加載JS
受害者到服務(wù)器后���,就會服務(wù)器用大約50個數(shù)據(jù)點進行畫像。如果目標被認為是有效的����,那么就會建立關(guān)于0 day漏洞利用的加密數(shù)據(jù)交換。
收集的信息包括受害者計算機所用的語言�、時區(qū)、設(shè)備信號���、瀏覽器插件�����、設(shè)備內(nèi)存、cookie功能等�。
在黎巴嫩的攻擊案例中,0 day漏洞利用可以實現(xiàn)shellcode執(zhí)行�,并可以與另一個沙箱逃逸漏洞相結(jié)合實現(xiàn)其他功能���。
在初始感染后,攻擊者使用一個BYOVD(自帶驅(qū)動)步驟來進行權(quán)限提升�,并獲取入侵設(shè)備內(nèi)存的讀寫權(quán)限。
圖 BYOVD漏洞利用中使用的有漏洞的ICOTL handler
研究人員發(fā)現(xiàn)Candiru使用的BYOVD也是一個0 day漏洞�。目前還不清楚攻擊者的目標數(shù)據(jù)是什么,但研究人員認為攻擊者可以通過漏洞利用了解記者等檢索的信息����,以達到監(jiān)控的目的。
因為該漏洞位于WebRTC中��,因此也影響蘋果Safari瀏覽器����。但目前研究人員只在Windows機器上發(fā)現(xiàn)了漏洞利用。
參考及來源:https://www.bleepingcomputer.com/news/security/chrome-zero-day-used-to-infect-journalists-with-candiru-spyware/
來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761