谷歌的威胁分析小组宣布发现了一个漏洞利用框架,该框架使用现已修补的漏洞来传播间谍软件。西班牙 IT 公司 Variston 与该漏洞有关。
一家西班牙 IT 公司可能利用了 Windows 漏洞
2022 年 11 月 30 日,谷歌的威胁分析小组 (TAG) 在一篇谷歌博文中宣布,一个名为“Heliconia”的开发框架可能与西班牙 IT 公司 Variston 有联系。该框架利用现已修补的 Chrome、Firefox 和 Microsoft Defender 漏洞来部署危险的间谍软件。 Variston 是所涉安全解决方案提供商,总部设在巴塞罗那,可能利用 n-day 漏洞传播间谍软件。N-day 漏洞是指已被修补的被利用的安全漏洞。然而,谷歌的 TAG 研究人员认为,这些漏洞在补丁发布之前就已被用于野外的零日攻击。
Heliconia 框架可以部署商业间谍软件
Google Threat Analysis Group 最初是通过匿名用户提交的错误报告服务了解 Heliconia 框架的。报告了三个错误的用户创造了“Heliconia”这个名字。三份报告分别命名为“Heliconia Noise”、“Heliconia Soft”和“Files”。 Heliconia Noise 是一个框架,它针对 Chrome 渲染器错误部署 Windows 漏洞利用,然后是 Chrome 沙箱逃逸和代理安装。直到 2021 年 8 月,Chrome 版本 90.0.4430.72 到 91.0.4472.106(从 2021 年 4 月到 6 月)都暴露在这个漏洞中。 Heliconia Soft 框架部署了一个包含 Windows Defender 漏洞的 PDF。这些文件包含针对 Linux 和 Windows 系统的各种漏洞利用。 Heliconia 处理商业间谍软件在目标设备上的传播。正如谷歌关于此事的 TAG 帖子中所述,这种恶意程序将“先进的监控能力置于政府手中,政府利用它们来监视记者、人权活动家、政治反对派和持不同政见者。”
Google 的 TAG 致力于打击商业间谍软件
Google 的 TAG 在其有关 Heliconia 框架的博文中总结道,“间谍软件行业的发展使用户处于危险之中,并降低了互联网的安全性”。即使“监视技术根据国家或国际法律可能是合法的”,商业间谍软件也可能被滥用。 由于存在这种危险,Google 和 TAG 已声明他们将“继续对商业间谍软件行业采取行动并发布研究报告”。
间谍软件对数百万互联网用户构成威胁
可以利用间谍软件在人们未经许可或不知情的情况下监控他们的数字活动。私人数据很容易被间谍软件窃取,间谍软件既可以让攻击者受益,也可以利用目标。虽然商业间谍软件在某些国家/地区可能是合法的,但仍可能以不道德的方式使用它,并可能使公民处于危险之中。这就是为什么像 Google 的 TAG 这样的团队正在寻求持续识别、监控和处理此类程序的原因。
本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
