Использование Windows, Chrome и Firefox Zero-Days для распространения вредоносного ПО

Использование Windows, Chrome и Firefox Zero-Days для распространения вредоносного ПО

Исследователи кибербезопасности из группы анализа угроз Google (TAG) говорят, что испанская коммерческая фирма разработала сеть эксплойтов (opens in a new tab) для Windows, Chrome и Firefox и, вероятно, в последнюю очередь продала ее государственным организациям.

В сообщении в блоге, опубликованном ранее на этой неделе, команда TAG утверждает, что базирующаяся в Барселоне компания Variston IT, вероятно, связана с инфраструктурой Heliconia, которая использует уязвимости n-day в Chrome, Firefox и Microsoft Defender (откроется в новой вкладке). ). Это также указывает на то, что компания, вероятно, предоставила все необходимые инструменты для развертывания полезной нагрузки на целевой конечной точке (открывается в новой вкладке).

Нет активной эксплуатации

У всех затронутых компаний были исправлены уязвимости, которые использовались с помощью фреймворка Heliconia в 2021 и начале 2022 года, и, поскольку TAG не обнаружила активных уязвимостей, фреймворк, скорее всего, использовался в нулевые дни. Однако для полной защиты от Heliconia TAG рекомендует всем пользователям обновлять свое программное обеспечение.

Впервые Google был уведомлен о существовании Heliconia через анонимную отправку в программу отчетов об ошибках Chrome (откроется в новой вкладке). Тот, кто отправил заявку, добавил три ошибки, каждая с инструкциями и файлом исходного кода. Они получили названия «Heliconia Noise», «Heliconia Soft» и «Files». Дальнейший анализ показал, что они содержат «фреймворки для реализации эксплойтов в реальных условиях» и что исходный код указывает на Variston IT.

Heliconia Noise описывается как платформа для реализации эксплойта для ошибки рендеринга Chrome с последующим выходом из песочницы. Heliconia Soft, с другой стороны, представляет собой веб-фреймворк, реализующий PDF-файл, содержащий эксплойт для Защитника Windows, а Files — это набор эксплойтов Firefox (открывается в новой вкладке), которые можно найти как в Windows, так и в Linux.

Поскольку эксплойт Heliconia работает в версиях Firefox 64-68, вполне вероятно, что он использовался в конце 2018 года, предполагает Google.

В беседе с TechCrunch ИТ-директор Variston Ральф Вегнер заявил, что компания не знала о поиске в Google и не смогла проверить результаты, но добавил, что он «удивится, если такой элемент будет найден в природе».

Google заявляет, что коммерческое шпионское ПО (opens in a new tab) — это развивающаяся отрасль, добавляя, что она не будет сидеть сложа руки, пока эти организации продают уязвимости правительствам, которые затем используют их для атак на оппонентов, политиков, журналистов, правозащитников и диссидентов.

Возможно, самый известный пример — израильская NSO Group и ее шпионское ПО Pegasus, которое внесло компанию в черный список в США.

Через: TechCrunch (откроется в новой вкладке)