谷歌指控西班牙间谍软件供应商利用 Chrome、Firefox 和 Windows 零日漏洞

据称，一家名为 Variston IT 的巴塞罗那监控软件供应商利用 Google Chrome、Mozilla Firefox 和 Windows 中的多个零日漏洞在目标设备上秘密植入间谍软件，其中一些漏洞可追溯到 2018 年 12 月。

“他们的 Heliconia 框架利用了 Chrome、Firefox 和 Microsoft Defender 中的 n-day 漏洞，并提供了将有效载荷部署到目标设备所需的所有工具，”谷歌威胁分析小组 (TAG) 研究人员 Clement Lecigne 和 Benoit Sevens 在一份报告中说。写上去。

Variston 拥有一个简单的网站，声称“为我们的客户提供量身定制的信息安全解决方案”，“为任何类型的专有系统设计定制安全补丁”，并支持“[执法部门发现数字信息]机构]，”以及其他服务。

这些漏洞已由谷歌、微软和 Mozilla 在 2021 年和 2022 年初修补，据信已被用作零日漏洞，以帮助客户在目标系统上安装他们选择的恶意软件。

Heliconia 包含三个组件，即 Noise、Soft 和 Files，每个组件分别负责针对 Chrome、Windows 和 Firefox 中的错误部署漏洞利用。

Noise 旨在利用2021 年 8 月修补的 Chrome V8 引擎 JavaScript 引擎中的安全漏洞以及名为“chrome-sbx-gen”的未知沙箱转义方法来启用最终有效负载（又名“代理”）安装在目标设备上。

然而，攻击的先决条件是受害者访问诱杀网页以触发第一阶段的漏洞利用。

Heliconia Noise 可以由购买者使用 JSON 文件进行额外配置，以设置不同的参数，例如服务漏洞利用的最大次数、服务器的到期日期、非目标访问者的重定向 URL 以及指定访问者何时应该访问的规则被认为是一个有效的目标。

Soft 是一个 Web 框架，旨在提供具有CVE-2021-42298漏洞利用的诱饵 PDF 文档，这是一个影响 Microsoft Defender 的远程代码执行缺陷，已于 2021 年 11 月由 Redmond 修复。在这种情况下，感染链需要用户访问恶意 URL，然后该 URL 提供武器化的 PDF 文件。

文件包（第三个框架）包含适用于 Windows 和 Linux 的 Firefox 漏洞利用链，该漏洞利用了 2022 年 3 月报告的浏览器中的释放后使用漏洞 ( CVE-2022-26485 )。但是，怀疑该漏洞至少从 2019 年开始就可能被滥用。

谷歌 TAG 表示，在收到对其 Chrome 错误报告程序的匿名提交后，它意识到了 Heliconia 攻击框架。它进一步指出，目前没有利用的证据，这表明该工具集已被搁置或进一步发展。

在这家科技巨头的网络安全部门将之前未归属的 Android 移动间谍软件 Hermit 与意大利软件公司RCS Lab联系起来五个多月后，这一进展就到来了。

“间谍软件行业的发展使用户处于危险之中，并降低了互联网的安全性，虽然根据国家或国际法律，监控技术可能是合法的，但它们经常以有害的方式被用来对一系列群体进行数字间谍活动，”研究人员说。