Google: 제로데이 익스플로잇이 가득한 정부에서 사용하는 상업용 스파이웨어

Google 위협 분석 그룹(TAG)의 연구원들은 iPhone 및 Android 스마트폰 사용자를 대상으로 패치되지 않은 다양한 제로데이 익스플로잇을 사용하여 고도로 표적화된 두 가지 별도의 캠페인을 발견했습니다. 스파이웨어.

발견 — 공개됨 블로그 게시물 29월 30일 — Google TAG가 상업용 스파이웨어 공급업체를 적극적으로 추적한 결과이며 현재 그 중 XNUMX개 이상이 레이더 화면에 표시되어 있습니다. 이러한 공급업체는 국가가 후원하는 위협 행위자에게 익스플로잇 또는 감시 기능을 판매하여 "위험한 해킹 도구의 확산을 가능하게 하고 이러한 기능을 자체적으로 개발할 수 없는 정부를 무장시킵니다"라고 연구진은 썼습니다. 이들은 종종 생명을 위협할 수 있는 방식으로 반체제 인사, 언론인, 인권 운동가, 야당 정치인을 표적으로 삼는 데 사용된다고 지적했습니다.

감시 기술의 사용은 현재 대부분의 국내법이나 국제법에 따라 합법적이며, 정부는 이러한 법과 기술을 남용하여 자신의 목적에 부합하지 않는 개인을 표적으로 삼았습니다. 그러나 이러한 학대는 정부의 학대 사실이 폭로되면서 국제적인 조사 대상이 되었기 때문에 NSO 그룹의 Pegasus 모바일 스파이웨어 iPhone 사용자를 타겟팅하고 규제 기관과 공급업체 모두 되었습니다 크래킹 상업용 스파이웨어의 생산 및 사용에 관한 것입니다.

실제로 바이든 행정부는 지난 28월 XNUMX일 스파이웨어에 대한 전면적 금지에는 미치지 못하는 행정명령을 발령했지만, 상업용 감시 도구의 사용을 제한합니다. 연방 정부에 의해.

이번 주 Google의 조사 결과에 따르면 이러한 노력은 상업용 스파이웨어 장면을 막는 데 거의 도움이 되지 않았으며, "상업 감시 공급업체가 역사적으로 익스플로잇을 개발하고 운영하기 위해 기술 전문 지식을 갖춘 정부에서만 사용했던 기능을 확산시킨 정도를 강조합니다"라고 TAG 연구원이 밝혔습니다. 게시물에 썼습니다.

특히 연구원들은 모바일 장치의 Android, iOS 및 Chrome 사용자를 대상으로 하는 두 가지 "고유하고 제한적이며 고도로 타겟팅된" 캠페인의 특징을 발견했습니다. 둘 다 제로데이 익스플로잇과 n데이 익스플로잇을 사용합니다. 후자의 경우, 캠페인은 공급업체가 취약점에 대한 수정 사항을 출시하는 시점과 하드웨어 제조업체가 실제로 해당 패치로 최종 사용자 장치를 업데이트하는 시점 사이의 기간을 특히 활용하여 패치가 적용되지 않은 플랫폼에 대한 공격을 생성한다고 연구진은 말했습니다.

TAG에 따르면 이는 익스플로잇을 생성하는 사람들이 악의적인 목적으로 악용할 수 있는 취약점을 면밀히 관찰하고 이를 사용하여 대상 장치를 손상시킬 가능성을 최대화하기 위해 공모할 가능성이 있음을 보여줍니다. 또한 이 캠페인은 감시 소프트웨어 공급업체가 위험한 해킹 도구의 확산을 가능하게 하는 익스플로잇과 기술을 공유한다는 것을 암시한다고 연구원들은 게시물에 썼습니다.

iOS/Android 스파이웨어 캠페인

연구원들이 설명한 첫 번째 캠페인은 XNUMX월에 발견되었으며 각각 최소 XNUMX개의 제로데이 결함을 포함하여 iOS의 취약점 XNUMX개와 Android의 취약점 XNUMX개를 악용했습니다.

연구원들은 다음을 통해 전달된 Android 및 iOS 장치 모두에 영향을 미치는 초기 액세스 시도를 발견했습니다. SMS를 통해 전송된 bit.ly 링크 이탈리아, 말레이시아, 카자흐스탄에 거주하는 사용자에게 제공된다고 그들은 말했습니다. 링크는 방문자를 Android 또는 iOS용 익스플로잇을 호스팅하는 페이지로 리디렉션한 다음 합법적인 웹사이트(예: 이탈리아에 본사를 둔 배송 및 물류 회사 BRT의 배송을 추적하는 페이지 또는 인기 있는 말레이시아 뉴스 웹사이트)로 리디렉션했다고 연구원들은 밝혔습니다. 게시물.

iOS 익스플로잇 체인은 15.1 이전 버전을 표적으로 삼았으며 WebKit 원격 코드 실행(RCE) 결함에 대한 익스플로잇을 포함했습니다. CVE-2022-42856, 하지만 익스플로잇 당시에는 제로데이였습니다. JIT 컴파일러 내의 유형 혼동 문제가 포함되어 있으며 이 익스플로잇은 PAC 우회 기술을 사용했습니다. Apple에서 2022년 XNUMX월에 수정함. 이 공격은 또한 AGXAccelerator의 샌드박스 탈출 및 권한 상승 버그를 악용했습니다. CVE-2021-30900, 이는 iOS 15.1에서 Apple에 의해 수정되었습니다.

iOS 캠페인의 최종 페이로드는 장치의 GPS 위치를 다시 핑하고 공격자가 영향을 받은 핸드셋에 .IPA 파일(iOS 애플리케이션 아카이브)을 설치할 수 있도록 하는 간단한 스테이저였습니다. 이 파일은 정보를 훔치는 데 사용될 수 있습니다.

연구원들은 이 캠페인의 안드로이드 익스플로잇 체인이 Chrome 106 이전 버전을 실행하는 ARM GPU를 사용하는 장치의 사용자를 표적으로 삼았다고 밝혔습니다. 악용된 취약점은 세 가지였습니다. CVE-2022-3723, Chrome의 유형 혼동 취약점 지난 XNUMX월에 수정됨r 버전 107.0.5304.87, CVE-2022-4135, Chrome GPU 샌드박스 우회는 XNUMX월에 악용 및 수정되었을 때 제로데이였던 Android에만 영향을 미칩니다. CVE-2022-38181은 ARM에서 수정한 권한 에스컬레이션 버그 지난 XNUMX 월.

특히 ARM 및 CVE-2022-38181 공격의 중요성은 이 결함에 대한 수정 사항이 처음 출시되었을 때 Pixel, Samsung, Xiaomi 및 Oppo를 포함한 여러 공급업체가 패치를 통합하지 않았다는 것입니다. 공격자에게 몇 달의 시간을 제공 연구원들은 버그를 자유롭게 악용할 수 있다고 말했습니다.

삼성 브라우저 사이버 간첩 캠페인

Google TAG 연구원들은 102월에 최신 버전의 삼성 인터넷 브라우저를 표적으로 삼기 위해 제로데이와 n-데이를 모두 사용하는 완전한 익스플로잇 체인을 포함하는 두 번째 캠페인을 발견했습니다. 이 브라우저는 Chromium XNUMX에서 실행되며 최근 완화 기능을 포함하도록 업데이트되지 않았으므로 공격자가 악용을 수행하려면 추가 작업을 수행해야 한다고 연구진은 말했습니다.

연구원들은 공격자들이 SMS를 통해 아랍에미리트(UAE)에 위치한 장치로 전송되는 일회성 링크를 통해 익스플로잇을 전달했다고 밝혔습니다. 링크는 사용자를 다음 페이지에 있는 것과 동일한 방문 페이지로 연결했습니다. 헬리코니아 프레임워크 상업용 스파이웨어 공급업체인 Variston이 개발했다고 그들은 덧붙였습니다.

이 경우 익스플로잇의 페이로드는 다양한 채팅 및 브라우저 애플리케이션의 데이터를 해독하고 캡처하기 위한 라이브러리가 포함된 C++ 기반의 "완벽한 기능을 갖춘 Android 스파이웨어 제품군"이었다고 연구진은 밝혔습니다. 그들은 관련된 행위자가 Variston의 고객, 파트너 또는 기타 가까운 계열사일 수 있다고 의심합니다.

체인에서 악용된 결함은 다음과 같습니다. CVE-2022-4262, 악용 당시 제로데이였던 Chrome의 유형 혼동 취약점, CVE-2022-3038, 105년 2022월 버전 XNUMX에서 수정된 Chrome의 샌드박스 이스케이프, CVE-2022-22706, 취약점 ARM으로 수정된 Mali GPU 커널 드라이버 2022년 XNUMX월, 그리고 CVE-2023-0266, 악용 당시 제로데이였던 커널 읽기 및 쓰기 액세스를 제공하는 Linux 커널 사운드 하위 시스템의 경쟁 조건 취약점입니다.

연구원들은 "익스플로잇 체인은 Google이 ARM과 Samsung에 보고한 CVE-2022-22706 및 CVE-2023-0266을 악용할 때 다중 커널 정보 유출 제로데이를 활용했습니다"라고 적었습니다.

스파이웨어 제한 및 모바일 사용자 보호

TAG 연구원들은 기기 사용자가 캠페인의 표적이 되고 있는지 알 수 있도록 침해 지표(IoC) 목록을 제공했습니다. 또한, 취약점 및/또는 익스플로잇이 발견된 후 공급업체와 사용자가 모바일 장치를 가능한 한 빨리 최신 패치로 업데이트하는 것이 얼마나 중요한지 강조했습니다.

Google TAG 연구자들은 Dark Reading이 제기한 질문에 대해 “여기서 가장 중요한 점은 완전히 업데이트된 장치에서 완전히 업데이트된 소프트웨어를 사용하는 것입니다.”라고 말합니다. "이 경우 설명된 익스플로잇 체인 중 어느 것도 작동하지 않았을 것입니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits