谷歌威脅分析小組（TAG）透露，去年解決的一些零日漏洞被商業(yè)間諜軟件供應(yīng)商利用，以Android和iOS設(shè)備為目標(biāo)。

這兩個(gè)不同的活動(dòng)都有很強(qiáng)的針對(duì)性，利用補(bǔ)丁發(fā)布與目標(biāo)設(shè)備上實(shí)際修復(fù)之間的時(shí)間差。

TAG  Clement Lecigne在報(bào)告中指出，這些供應(yīng)商通過(guò)擴(kuò)散具有攻擊性的工具，來(lái)武裝那些無(wú)法在內(nèi)部開發(fā)這些能力的政府及組織。

根據(jù)國(guó)家或國(guó)際法律，雖然部分監(jiān)控技術(shù)的使用是合法的，但人們經(jīng)常發(fā)現(xiàn)，有關(guān)政府利用這些技術(shù)來(lái)監(jiān)控不同政見者、記者、人權(quán)工作者和反黨人士。

這兩次惡意活動(dòng)，第一次發(fā)生在2022年11月，通過(guò)短信向位于意大利、馬來(lái)西亞和哈薩克斯坦的用戶發(fā)送短鏈接。點(diǎn)擊后，這些URL將收件人重定向到承載安卓或iOS漏洞的網(wǎng)頁(yè)，然后他們又被重定向到合法的新聞或貨運(yùn)追蹤網(wǎng)站。

iOS的漏洞鏈利用了多個(gè)漏洞，包括CVE-2022-42856（當(dāng)時(shí)的零日）、CVE-2021-30900和一個(gè)指針認(rèn)證代碼（PAC）繞過(guò)，將一個(gè).IPA文件安裝到易受影響的設(shè)備上。

安卓系統(tǒng)的漏洞鏈包括三個(gè)漏洞--CVE-2022-3723、CVE-2022-4135（濫用時(shí)為零日）和CVE-2022-38181以傳遞一個(gè)未指定的有效載荷。

雖然CVE-2022-38181是一個(gè)影響Mali GPU內(nèi)核驅(qū)動(dòng)的特權(quán)升級(jí)漏洞，在2022年8月被Arm打了補(bǔ)丁，但對(duì)方可能在補(bǔ)丁發(fā)布之前已經(jīng)掌握了該漏洞的利用方法。

另一點(diǎn)值得注意的是，在三星瀏覽器中打開鏈接的安卓用戶，會(huì)被重新定向到Chrome。

第二個(gè)活動(dòng)是在2022年12月觀察到的，包括幾個(gè)針對(duì)三星瀏覽器最新版本的零日和n日，這些漏洞通過(guò)短信作為一次性鏈接發(fā)送到位于阿聯(lián)酋的設(shè)備。

該網(wǎng)頁(yè)與西班牙間諜軟件公司Variston IT使用的網(wǎng)頁(yè)類似，都植入了一個(gè)基于C++的惡意工具包，能夠從聊天和瀏覽器應(yīng)用程序中獲取數(shù)據(jù)。

被利用的漏洞包括CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266和CVE-2023-26083。

目前，這兩個(gè)活動(dòng)的規(guī)模和目標(biāo)還不清楚。

在拜登簽署“限制使用商業(yè)間諜軟件”的行政命令幾天后，這些消息就被披露出來(lái)。足以見得，商業(yè)間諜軟件行業(yè)任然在蓬勃發(fā)展。監(jiān)控供應(yīng)商之間正在分享漏洞和技術(shù)，即使是較小的監(jiān)控供應(yīng)商也能獲得零日漏洞。供應(yīng)商秘密儲(chǔ)存和使用零日漏洞在短時(shí)間內(nèi)對(duì)互聯(lián)網(wǎng)仍構(gòu)成嚴(yán)重的風(fēng)險(xiǎn)。

參考鏈接：thehackernews.com/2023/03/spyware-vendors-caught-exploiting-zero.html