Google'ın Tehdit Analiz Grubu (TAG), Chrome ve Firefox Web tarayıcılarındaki ve Microsoft Defender Güvenlik Uygulamasında şu anda paylaşılan güvenlik açıklarını bir İspanyol yazılım şirketine hedefleyen bir istismar çerçevesi bağladı.
TAG, Google'ın Google kullanıcılarını devlet destekli saldırılardan korumaya odaklanan güvenlik uzmanları ekibi olsa da, hükümetlerin gözetim araçlarını kullanarak muhalif, gazeteci ve siyasi rakipleri gözetlemelerini sağlayan düzinelerce şirketi de takip ediyor.
Arama devi, Barcelona merkezli yazılım firmasının, resmi olarak iddia ettiği gibi özel güvenlik çözümleri sağlayıcısı değil, bu ticari gözetim satıcılarından biri olduğunu söylüyor.
Google Tag's Clement Lecigne ve Benoit Sevens, "Bu çalışmaya devam etmek, bugün, bir sömürü çerçevesinde bulguları, Barselona, İspanya'da özel güvenlik çözümleri sağlayıcısı olduğunu iddia eden bir şirket olan Variston ile olası bağlarla paylaşıyoruz." Dedi. Çarşamba.
"Heliconia Framework, Chrome, Firefox ve Microsoft Defender'daki N-Day güvenlik açıklarından yararlanır ve bir hedef cihaza yükü dağıtmak için gerekli tüm araçları sağlar."
Sömürü çerçevesi, her biri hedeflerin cihazlarındaki yazılımlarda belirli güvenlik kusurlarını hedefleyen birden fazla bileşenden oluşur:
Heliconia gürültüsü ve Heliconia Soft için, istismarlar nihayetinde güvenliği ihlal edilen cihaza 'Agent_simple' adlı bir ajan dağıtacaktır.
Bununla birlikte, Google tarafından analiz edilen bu çerçevenin örneği, herhangi bir kötü amaçlı kod yürütmeden çalışan ve çıkan bir kukla ajan içeriyordu.
Google, çerçevenin müşterinin kendi temsilcilerini sağladığına veya erişemedikleri başka bir projenin parçası olduğuna inanıyor.
Hedeflenen güvenlik açıklarının aktif olarak kullanıldığına dair bir kanıt olmasa da ve Google, Mozilla ve Microsoft 2021 ve 2022'nin başlarında onları yamalı olsa da, Google Tag, "Bunların vahşi doğada sıfır gün olarak kullanıldığı görülüyor."
Bir Variston BT sözcüsü, bugün daha önce BleepingComputer tarafından temasa geçildiğinde hemen yorum yapmak için mevcut değildi.
Haziran ayında, şirketin etiket ekibi ayrıca İtalyan casus yazılım satıcısı RCS Labs'a bazı İnternet servis sağlayıcılarının (ISS) tarafından İtalya ve Kazakistan'daki Android ve iOS kullanıcılarının cihazlarına ticari gözetim araçları dağıtmasına yardımcı olduğunu açıkladı.
Saldırılar sırasında, hedeflerden, ISS'nin yardımıyla internet bağlantıları kesildikten sonra çevrimiçi olarak geri dönmek için sürüşten aşağı indirmelerde kötü amaçlı uygulamalar (meşru mobil taşıyıcı uygulamaları olarak kamufle edilmiş) yüklemesi istendi.
Bir ay önce, Google Tag, devlet destekli tehdit aktörleri ticari casus yazılım geliştiricisi Cytrox tarafından geliştirilen Predator casus yazılımlarını yüklemek için beş sıfır günlük hatadan yararlandığında başka bir gözetim kampanyası açtı.
Google, o zamanlar, devlet destekli tehdit gruplarına veya aktörlere gözetim yetenekleri veya istismarları satan değişen halka açık seviyelerde ve sofistike seviyelere sahip 30'dan fazla satıcıyı aktif olarak izlediğini söyledi.
"Casus yazılım endüstrisinin büyümesi kullanıcıları riske atar ve interneti daha az güvenli hale getirir ve gözetim teknolojisi ulusal veya uluslararası yasalar altında yasal olsa da, genellikle bir dizi gruba karşı dijital casusluk yapmak için zararlı yollarla kullanılırlar." Tag bugün eklendi.
Diyerek şöyle devam etti: "Bu istismarlar çevrimiçi güvenlik için ciddi bir risk temsil ediyor, bu yüzden Google ve Tag, ticari casus yazılım endüstrisine karşı harekete geçmeye ve araştırmaya devam edecek."
Google, 2022'de 8. Zero Day'i düzeltmek için Acil Durum Chrome güncellemesini zorluyor
Çin siberlere bağlı yeni Badbazaar Android kötü amaçlı yazılım
Microsoft, kötü amaçlı yazılımları itmek için Windows Zero-Day hatasını çözer
Mozilla Firefox, yeni Windows 11 özelliğinin neden olduğu donmaları düzeltiyor
Google, Yedinci Chrome Sıfır Gününü Saldırı Saldırılarında Bu Yıl Saldırılar
Kaynak: Bleeping Computer