Phát hiện hàng loạt nhà cung cấp spyware trên Android và iOS đang khai thác lỗ Zero Day

www.tuoitre.vn -   31/03/2023 08:00:00 684

Một số lỗ hổng zero-day đã được giải quyết vào năm ngoái đã bị các nhà cung cấp phần mềm gián điệp thương mại khai thác để nhắm mục tiêu vào các thiết bị Android và iOS, Nhóm phân tích mối đe dọa của Google (TAG) đã tiết lộ.

Một số lỗ hổng zero-day đã được giải quyết vào năm ngoái đã bị các nhà cung cấp phần mềm gián điệp thương mại khai thác để nhắm mục tiêu vào các thiết bị Android và iOS, Nhóm phân tích mối đe dọa của Google (TAG) đã tiết lộ.

Hai chiến dịch riêng biệt đều có giới hạn và được nhắm mục tiêu cao, tận dụng khoảng cách bản vá giữa thời điểm phát hành bản sửa lỗi và thời điểm nó thực sự được triển khai trên các thiết bị được nhắm mục tiêu. Quy mô của hai chiến dịch và bản chất của các mục tiêu hiện chưa được biết.

"Các nhà cung cấp này đang tạo điều kiện cho sự phổ biến của các công cụ hack nguy hiểm, trang bị vũ khí cho các chính phủ không thể tự phát triển các khả năng này", Clement Lecigne của TAG cho biết trong một báo cáo mới.

"Mặc dù việc sử dụng các công nghệ giám sát có thể hợp pháp theo luật pháp quốc gia hoặc quốc tế, nhưng chúng thường được các chính phủ sử dụng để nhắm mục tiêu vào những người bất đồng chính kiến, nhà báo, nhân viên nhân quyền và các chính trị gia của đảng đối lập."

Hoạt động đầu tiên trong số hai hoạt động diễn ra vào tháng 11 năm 2022 và liên quan đến việc gửi các liên kết rút gọn qua tin nhắn SMS tới người dùng ở Ý, Malaysia và Kazakhstan.

Khi nhấp vào, các URL sẽ chuyển hướng người nhận đến các trang web lưu trữ các khai thác dành cho Android hoặc iOS, trước khi họ được chuyển hướng lại đến các trang web theo dõi lô hàng hoặc tin tức hợp pháp.

Chuỗi khai thác iOS tận dụng nhiều lỗi, bao gồm CVE-2022-42856 (lúc đó là zero-day), CVE-2021-30900 và bỏ qua mã xác thực con trỏ (PAC), để cài đặt tệp .IPA vào thiết bị dễ bị tấn công.

Chuỗi khai thác Android bao gồm ba khai thác – CVE-2022-3723, CVE-2022-4135 (zero-day tại thời điểm lạm dụng) và CVE-2022-38181 – để cung cấp một tải trọng không xác định.

Mặc dù CVE-2022-38181, một lỗi leo thang đặc quyền ảnh hưởng đến Trình điều khiển hạt nhân GPU Mali, đã được Arm vá vào tháng 8 năm 2022, nhưng vẫn chưa biết liệu kẻ thù đã sở hữu bản khai thác lỗ hổng này trước khi phát hành bản vá hay chưa.

Một điểm lưu ý khác là người dùng Android đã nhấp vào liên kết và mở nó trong Trình duyệt Internet của Samsung đã được chuyển hướng đến Chrome bằng phương pháp gọi là chuyển hướng ý định.

Chiến dịch thứ hai, được quan sát vào tháng 12 năm 2022, bao gồm một số zero-day và n-day nhắm mục tiêu phiên bản mới nhất của Samsung Internet Browser, với các khai thác được phân phối dưới dạng liên kết một lần qua SMS tới các thiết bị ở U.A.E.

Trang web này, tương tự như những trang được sử dụng bởi công ty phần mềm gián điệp Variston IT của Tây Ban Nha, cuối cùng đã cấy một bộ công cụ độc hại dựa trên C++ có khả năng thu thập dữ liệu từ các ứng dụng trình duyệt và trò chuyện.

Các lỗ hổng bị khai thác bao gồm CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 và CVE-2023-26083. Chuỗi khai thác được cho là đã được sử dụng bởi một khách hàng hoặc đối tác của Variston IT.

Tổ chức Ân xá Quốc tế, trong một báo cáo phối hợp, đã mô tả chiến dịch tấn công vào tháng 12 năm 2022 là tiên tiến và tinh vi, đồng thời việc khai thác này "được phát triển bởi một công ty giám sát mạng thương mại và được bán cho các tin tặc của chính phủ để thực hiện các cuộc tấn công phần mềm gián điệp có mục tiêu."

Tổ chức phi chính phủ quốc tế cho biết: “Chiến dịch phần mềm gián điệp mới được phát hiện đã hoạt động ít nhất từ năm 2020 và nhắm mục tiêu vào các thiết bị di động và máy tính để bàn, bao gồm cả người dùng hệ điều hành Android của Google”. "Phần mềm gián điệp và khai thác zero-day đã được phân phối từ một mạng lưới rộng lớn gồm hơn 1.000 tên miền độc hại, bao gồm cả tên miền giả mạo các trang web truyền thông ở nhiều quốc gia."

Điều đó nói rằng, quy mô của hai chiến dịch và bản chất của các mục tiêu hiện chưa được biết.

Những tiết lộ được đưa ra chỉ vài ngày sau khi chính phủ Hoa Kỳ công bố một sắc lệnh hành pháp hạn chế các cơ quan liên bang sử dụng phần mềm gián điệp thương mại gây rủi ro an ninh quốc gia.

"Những chiến dịch này là một lời nhắc nhở rằng ngành công nghiệp phần mềm gián điệp thương mại tiếp tục phát triển mạnh," Lecigne nói. "Ngay cả các nhà cung cấp dịch vụ giám sát nhỏ hơn cũng có quyền truy cập vào lỗ hổng zero-day và các nhà cung cấp dự trữ và sử dụng các lỗ hổng zero-day một cách bí mật sẽ gây rủi ro nghiêm trọng cho Internet."

"Các chiến dịch này cũng có thể chỉ ra rằng các khai thác và kỹ thuật đang được chia sẻ giữa các nhà cung cấp giám sát, cho phép phổ biến các công cụ hack nguy hiểm."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 209
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 160
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 282
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 275
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 294
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 156
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

LIÊN HỆ

Thông tin liên hệ