آسیب پذیری zero-day کروم جهت آلوده کردن ژورنالیست ها با جاسوس افزار Candiru استفاده میشده است.

آسیب پذیری zero-day کروم جهت آلوده کردن ژورنالیست ها با جاسوس افزار Candiru استفاده میشده است.

شرکت جاسوسی اسرائیلی Candiru در حال استفاده از یک آسیب پذیری zero-day گوگل کروم، جهت جاسوسی بر روی ژورنالیست ها و افراد مهم در خاورمیانه با استفاده از جاسوس افزار ‘DevilsTongue’ کشف شده است.

شرکت جاسوسی اسرائیلی Candiru در حال استفاده از یک آسیب پذیری zero-day گوگل کروم جهت جاسوسی بر روی ژورنالیست ها و افراد مهم در خاورمیانه با استفاده از جاسوس افزار ‘DevilsTongue’ کشف شده است.
آسیب پذیری ردیابی شده به عنوان CVE-2022-2294 یک ‘heap-based buffer overflow’ جدی در WebRTC است، که اگر به صورت موفقیت آمیز اکسپلویت شود، میتواند به اجرای کد در دستگاه هدف منجر شود.
هنگامی که گوگل این zero-day را در 4 جولای پچ کرد، این موضوع افشا شد که این آسیب پذیری در حال استفاده فعال بوده ولی جزییات بیشتری منتشر نشد.
در یک گزارشی که اوایل امروز منتشر شد، محققان امنیتی Avast، کسانی که این آسیب پذیری را کشف کردند و به گوگل اطلاع دادند، اعلام کردند که آن را پس از حمله های جاسوس افزار در سیستم های کلاینت هایشان کشف کرده اند.
چندین کمپین و روش های انتقال
طبق گفته های Avast، شرکت Candiru شروع به اکسپلویت CVE-2022-2294 در مارش 2022 کرده است، در لبنان، ترکیه، فلسطین و یمن کاربرانی را مورد هدف قرار داده است.
عملیات جاسوس افزار از تکنیک های حملات watering hole معمول استفاده کرده است، کشف یک وبسایت که اهداف آن را بازدید میکرده اند و اکسپلویت کردن یک آسیب پذیری ناشناخته در مرورگر برای آلوده کردن آن ها با جاسوس افزار.
این حمله منحصرا جالب توجه است زیرا که به هیچ ارتباطی با قربانی نیاز ندارد، همانند کلیک کردن بر روی لینک یا دانلود کردن چیزی. در ازایش، تنها چیزی که برای آن ها نیاز است، باز کردن سایت در گوگل کروم یک مرورگر دیگر که براساس کرمیوم کار میکند است.
این وبسایت ها میتوانند سایت های معقول باشند که به طور خاصی مورد نفوذ قرار گرفته اند یا توسط هکر ها ساخته شده باشند و از طریق spear فیشینگ یا دیگر متد ها، تبلیغ شده باشند.
در یک مورد، حمله کننده ها به یک سایت نفوذ کرده که توسط یک نهاد خبری در لبنان استفاده میشد، حمله کننده ها snippets های جاوا اسکریپت را کاشتند که حملات XXS را فعال میکرد و اهداف را به سرور های اکسپلویت شده reroute میکرد.

جاسوس افزار Candiru

هنگامی که قربانی به سرور دست یابد، اطلاعات آن ها با استفاده از 50 دیتا پوینت بررسی میشود. اگر هدف مورد نظر به نظر معتبر برسد، تبادل اطلاعات رمزگذاری شده برای اجرای اکسپلویت zero-day برقرار میشود.
در گزارش Avast شرح داده شده است : " اطلاعات جمع آوری شده شامل زبان قربانی، تایم زون، اطلاعات صفحه، نوع دستگاه، پلاگین های مرورگر، refrrer، مموری دستگاه، کوکی های اجرایی، و ... میشود."
در مورد مربوط به لبنان، zero-day به حمله کننده ها اجازه میداد تا shellcode های اجرایی درون پروسه های renderer را اجرا کنند و سپس با یک آسیب پذیری sandbox chained میشد که به Avast امکان ریکاوری برای آنالیز را نمیداد.
به این دلیل که این آسیب پذیری در WebRTC قرار داشت، مروگر Safari اپل را نیز تحت تاثیر قرار میداد. اگرچه، اکسپلویتی که در Avast دیده میشد فقط بر روی ویندوز کار میکرد.
پس از آلودگی ابتدایی، DevilsTongue توسط یک BYOVD ("bring your own driver") میشد تا دسترسی ها را بالا ببرد و امکان خواندن و نوشتن بر روی مموری دستگاه آسیب پذیر را پیدا کند.

بدافزار DevilsTongue

جالب توجه است که Avast کشف کرد که BYOVD که توسط Candiru استفاده میشد نیز یک آسیب پذیری zero-day بوده است، و حتی اگر فروشنده یک به روزرسانی امنیتی نیز منتشر میکرد، این ماجرا به جلوگیری از جاسوس افزار کمک نمیکرد زیرا نسخه ی آسیب پذیر به صورت bundle شده با آن است.
در حالی که همچنان مشخص نیست که چه اطلاعاتی را حمله کنندگان مورد هدف قرار داده بودند، Avast معتقد است که حمله کنندگان از آن استفاده کرده بودند تا اطلاعات بیشتری از آنچه ژورنالیست ها تحقیق میکردند، بدست آورند.
Avast : "ما نمیتوانیم با اطمینان بگوییم که حمله کنندگان به دنبال چه چیزی بودند، اگرچه، علت اینکه حمله کنندگان به دنبال ژورنالیست ها رفته بودند، جاسوسی از آن ها و داستان هایی که بر روی آن ها به طور مستقیم کار میکردند یا به دنبال منابع آن ها بودند و اطلاعات حساسی که با خبرگذاری ها به اشتراک میگذاشتند را جمع آوری میکردند."
تهدید جاسوس افزار فعال
فروشندگان جاسوس افزار به توسعه دادن یا خریدن اکسپلویت های zero-day مشهور هستند تا به فرد مورد نظر مشتری هایشان حمله کنند.
آخرین بار Candiru توسط Microsoft و Citizen Lab افشا شد، شرکتی که از تمام عملیات های DevilTongue عقب نشینی کرد و به صورت پنهانی بر روی zero-days ها کار کرد که امروز توسط Avast افشا شد.
متاسفانه، به این معنی است که دوباره این اتفاق تکرار میشود، حتی اگر شما به روزرسانی امنیتی را اعمال کنید، این به این معنی نیست که از دست جاسوس افزار ها در امان هستید.
برای حل این مشکل، شرکت اپل برنامه دارد تا یک قابلیت iOS 16 به نام ‘Lockdown Mode’ را معرفی کند، که قابلیت های دستگاه را محدود میکند تا از لو رفتن اطلاعات حساس جلوگیری کند یا قابلیت جاسوس افزار ها را به حداقل برساند.

منبع : www.bleepingcomputer.com