谷歌发现用于部署间谍软件的 Windows 漏洞利用框架谷歌发现用于部署间谍软件的 Windows 漏洞利用框架

谷歌发现用于部署间谍软件的Windows漏洞利用框架谷歌发现用于部署间谍软件的Windows漏洞利用框架谷歌TAG表示，虽然这家总部位于巴塞罗那的软件公司正式宣称自己是一家安全解决方案提供商，但实际上从事的是商业监控活动。该公司使用Heliconia框架，利用Chrome、Firefox和MicrosoftDefender中的N-day漏洞，提供将有效载荷部署到目标设备所需的所有工具。漏洞利用框架由多个组件组成，每个组件都针对目标设备软件中的特定安全漏洞：HeliconiaNoise：用于部署Chrome渲染器漏洞利用的Web框架，以及用于在目标设备上安装的Chrome沙箱逃逸AgentHeliconiaSoft：PDFWeb框架部署WindowsDefender漏洞，跟踪为CVE-2021-42298HeliconiaFiles：一组针对Linux和Windows的Firefox漏洞利用，其中一个针对HeliconiaNoise和HeliconiaSoft，跟踪为CVE-2022-26485，这些漏洞最终会部署一个受感染设备上名为“agent_simple”的代理。TAG分析了一个包含虚拟代理的示例框架，发现在运行和退出时没有执行恶意代码，这表明框架的客户端提供了自己的代理，或者Google无法访问整个框架。虽然没有证据表明目标安全漏洞被积极利用，并且谷歌、Mozilla和微软在2021年和2022年初修补了这些漏洞，但TAG表示这些漏洞很可能被用作零日漏洞。跟踪间谍软件供应商TAG隶属于谷歌的安全专家团队，该团队专注于保护谷歌用户免受国家资助的网络攻击，但该团队还跟踪了数十家从事间谍或监视服务的公司。2022年6月，TAG注意到意大利间谍软件供应商RCSLabs在一些互联网服务提供商(ISP)的帮助下，在意大利和哈萨克斯坦的Android和iOS用户的设备上部署了商业监控工具。在此期间，目标用户被提示安装伪装成合法移动运营商应用程序的监控软件。最近，TAG披露了另一项监视活动，其中国家支持的攻击者利用五个零日漏洞在目标设备上安装商业间谍软件开发商Cytrox的Predator间谍软件。TAG表示，间谍软件行业的发展将用户置于危险之中，并降低了Internet的安全性。虽然根据国家或国际法，监视技术可能是合法的，但它们经常以有害的方式用于对付一系列进行数字间谍活动的团体。参考来源：https://www.bleepingcomputer.com/news/security/google-discovers-windows-exploit-framework-used-to-deploy-spyware/