کاربران اندروید مورد حمله جاسوسافزار Predator Cytrox قرار گرفتند
گروه تجزیه و تحلیل تهدیدات گوگل (TAG) انگشت خود را بهسمت توسعهدهنده نرمافزارهای جاسوسی مقدونیه شمالی به نام Cytrox برای گسترش سوءاستفاده در برابر پنج نقص ناشناخته، چهار مورد در گوگل کروم و یکی در اندروید، نشانه برد تا کاربران اندروید را مورد هدف قرار دهد.
به گزارش سیتنا، انگشت اشاره گروه تجزیه و تحلیل تهدیدات گوگل (TAG) بهسمت توسعهدهنده نرمافزارهای جاسوسی مقدونیه شمالی به نام Cytrox است.
محققان TAG کریستیان رسل و کلمنت لسین اعلام کردند که بهرهبرداریهای ناشناخته در کنار بهرهبرداریهای نامحدود روزصفر، مورد استفاده قرار گرفتند، زیرا توسعهدهندگان از اختلاف زمانی بین زمانی که برخی از باگهای حیاتی برطرف میشدند باگهایی که بهعنوان مسائل امنیتی متمایز نشدهاند و زمانی که این ایرادات به طور کامل در اکوسیستم اندروید مستقر شده بودند استفاده میکردند.
ادعا میشود که Cytrox این اکسپلویتها را بستهبندی کرده و آنها را به بازیگران متمایز تحت حمایت مقامات مستقر در مصر، ارمنستان، یونان، ماداگاسکار، ساحل عاج، صربستان، اسپانیا و اندونزی پیشنهاد داده است، که در مدت زمان کوتاهی حداقل توسط سه کمپین منحصر بفرد تبدیل به سلاح شدهاند.
سازمان نظارت تجاری، سازنده نرمافزار شکارچی (Predator) است، ایمپلنتی مشابه ایمپلنت Pegasus و گروه NSO، شناخته شده که تجهیزاتی تولید کرده است که مشتریان خود را قادر میسازد به محصولات iOS و Android نفوذ کنند.
در دسامبر 2021، Meta Platforms (فیسبوک سابق) فاش کرد که برای پاک کردن حدود 300 حساب کاربری در Fb و Instagram این شرکت، بهعنوان بخشی از استراتژیهای مصالحه خود استفاده میکرده است.
چک لیست پنج نقص ناشناخته مورد سوءاستفاده در گوگل کروم و اندروید در زیر آمده است:
CVE-2021-37973 - کاربرد- بلافاصله پس از شارژ رایگان در پورتال API
CVE-2021-37976 - نشت اطلاعات در هسته
CVE-2021-38000 - اعتبار سنجی ناکافی ورود نامعتبر در Intent ها (ریشه باعث ارزیابی می شود)
CVE-2021-38003 - پیاده سازی نامناسب در V هشت
CVE-2021-1048 – کاربرد - پس از کاربرد رایگان در هسته اندروید (ارزیابی القای روت)
مطابق با TAG، هر سه استراتژی در معضل با یک ایمیل فیشینگ نیزهای شروع شد که حاوی لینکهای یکبار مصرف تقلید از ارائهدهندگان کوتاهکننده URL بود که پس از کلیک کردن، اهداف را به منطقهای فریبنده هدایت میکردند که قبل از اینکه قربانی را به یک سایت معتبر هدایت کند به دام میانداختند.
لجین و ریسل خاطرنشان کردند: هر سناریوی جداگانه، ما تنوع اهداف را در دهها کاربر ارزیابی میکنیم. "اگر اتصال معتبر نبود، کاربر بلافاصله به یک صفحه وب معتبر هدایت میشد."
دانشمندان ارزیابی کردند که هدف عالی این روش، توزیع بدافزاری به نام Alien بود که به عنوان پیشرو برای بارگذاری نرمافزار Predator روی تجهیزات اندرویدی آلوده، عمل میکند.
بدافزار «ساده» که دستورات را از Predator از طریق مکانیسم ارتباط بین فرآیندی (IPC) دریافت میکند، برای ضبط صدا، افزودن گواهیهای CA و پنهان کردن برنامهها برای فرار از شناسایی طراحی شده است.
اولین مورد گوگل کروم به عنوان یک مکان پرش در یک دستگاه Samsung Galaxy S21 استفاده کرد تا مرورگر را برای بارگذاری URL بیشتر در مرورگر اینترنت سامسونگ بدون نیاز به مکالمه مشتری با استفاده از -2021-38000-CVE استفاده کند.
یک نفوذ دیگر، که سی روز بعد اتفاق افتاد و به یک گوشی جدید سامسونگ گلکسی اس 10 ارسال شد، شامل یک زنجیره اکسپلویت بود که با - 2021-37973 CVE و -2021-37976- CVE برای فرار از جعبه سندروم کروم کار می کرد ( با Privacy Sandbox اشتباه نگردد)، که از آن برای رها کردن اکسپلویت بعدی برای افزایش امتیازات و استقرار درب پشتی استفاده میکند.
سومین کمپین بازاریابی - یک سوء استفاده کامل در روز کاری اندروید - در اکتبر 2021 روی یک تلفن سامسونگ به روز که آخرین نسخه کروم را در آن زمان اجرا می کرد، شناسایی شد. در مجموع دارای دو نقص -2021-38003 CVE و -2021-1048 CVE بود تا از sandbox فرار کند و سیستم را با تزریق کد مخرب به فرآیندهای دارای امتیاز به خطر بیندازد.
Google TAG اشاره کرد که در حالی که -2021-1048 CVE در سپتامبر 2020 در هسته لینوکس از پیش تعیین شده بود، تا آخر سال به اندروید بکپورت نشد زیرا این اصلاح به عنوان یک مشکل امنیتی علامت گذاری نشده بود.
دانشمندان توضیح دادند که مهاجمان فعالانه به دنبال این نوع آسیبپذیریهای کمکم از پیش تعیینشده هستند و از آنها سود میبرند.
مقابله با رویههای ناامن در زمینه نظارت تجاری به یک تکنیک دقیق و مفصل نیاز دارد که شامل همکاری در میان تیمهای اطلاعاتی خطر، مدافعان شبکه، دانشمندان آموزشی و پلتفرمهای فناوری است.
انتهای پیام
افزودن دیدگاه جدید