ใช้ประโยชน์จาก Windows, Chrome และ Firefox Zero-Days เพื่อเพิ่มจำนวนมัลแวร์

ใช้ประโยชน์จาก Windows, Chrome และ Firefox Zero-Days เพื่อเพิ่มจำนวนมัลแวร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Threat Analysis Group (TAG) ของ Google กล่าวว่าบริษัทการค้าของสเปนได้พัฒนาเครือข่ายช่องโหว่ (เปิดในแท็บใหม่) สำหรับ Windows, Chrome และ Firefox และน่าจะขายให้กับหน่วยงานของรัฐในที่สุด

ในบล็อกโพสต์ที่เผยแพร่เมื่อต้นสัปดาห์นี้ แท็กทีมอ้างว่าบริษัทในบาร์เซโลนาชื่อ Variston IT มีแนวโน้มเชื่อมโยงกับเฟรมเวิร์ก Heliconia ซึ่งใช้ประโยชน์จากช่องโหว่ n-day ใน Chrome, Firefox และ Microsoft Defender ( เปิดในแท็บใหม่ ). นอกจากนี้ยังบ่งชี้ว่าบริษัทน่าจะมีเครื่องมือที่จำเป็นทั้งหมดเพื่อปรับใช้ payload ไปยังปลายทางเป้าหมาย (เปิดในแท็บใหม่)

ไม่มีการเอารัดเอาเปรียบ

บริษัทที่ได้รับผลกระทบทั้งหมดได้แก้ไขช่องโหว่ที่ถูกโจมตีผ่านเฟรมเวิร์กของ Heliconia ในปี 2021 และต้นปี 2022 และเนื่องจาก TAG ไม่พบช่องโหว่ที่ใช้งานอยู่ เฟรมเวิร์กดังกล่าวจึงน่าจะถูกใช้ในวันที่ไม่มีศูนย์ อย่างไรก็ตาม เพื่อป้องกันเฮลิโคเนียอย่างเต็มที่ TAG แนะนำให้ผู้ใช้ทุกคนอัปเดตซอฟต์แวร์ของตนให้เป็นปัจจุบันอยู่เสมอ

ครั้งแรก Google ได้รับการแจ้งเตือนเกี่ยวกับการมีอยู่ของ Heliconia ผ่านการส่งโปรแกรมรายงานข้อบกพร่องของ Chrome โดยไม่ระบุชื่อ (เปิดในแท็บใหม่) ใครก็ตามที่ส่งผลงานมาได้เพิ่มจุดบกพร่องสามจุด โดยแต่ละจุดมีคำแนะนำและไฟล์ซอร์สโค้ด พวกเขาได้รับการตั้งชื่อว่า "Heliconia Noise", "Heliconia Soft" และ "Files" การวิเคราะห์เพิ่มเติมแสดงให้เห็นว่าพวกเขามี "กรอบการทำงานสำหรับการนำช่องโหว่ไปใช้ในป่า" และซอร์สโค้ดชี้ไปที่ Variston IT

Heliconia Noise ได้รับการอธิบายว่าเป็นเฟรมเวิร์กในการใช้ประโยชน์จากข้อผิดพลาดในการแสดงผลของ Chrome ตามด้วยการหลบหนีของแซนด์บ็อกซ์ ในทางกลับกัน Heliconia Soft เป็นเว็บเฟรมเวิร์กที่ใช้ PDF ที่มีการใช้ประโยชน์จาก Windows Defender ในขณะที่ Files เป็นการรวบรวมการใช้ประโยชน์จาก Firefox (เปิดในแท็บใหม่) ที่พบในทั้ง Windows และ Linux

เนื่องจากการใช้ประโยชน์จาก Heliconia ทำงานบน Firefox เวอร์ชัน 64-68 จึงมีแนวโน้มว่าจะถูกใช้งานในช่วงปลายปี 2018 Google แนะนำ

Variston CIO Ralf Wegner กล่าวกับ TechCrunch ว่าบริษัทไม่ทราบถึงการค้นหาของ Google และไม่สามารถตรวจสอบผลลัพธ์ได้ แต่เสริมว่าเขาจะ "แปลกใจหากพบองค์ประกอบดังกล่าวในธรรมชาติ"

สปายแวร์เชิงพาณิชย์ (เปิดในแท็บใหม่) เป็นอุตสาหกรรมที่กำลังเติบโต Google กล่าว พร้อมเสริมว่าจะไม่นิ่งเฉยในขณะที่หน่วยงานเหล่านี้ขายช่องโหว่ให้กับรัฐบาลเพื่อใช้โจมตีฝ่ายตรงข้าม นักการเมือง นักข่าว นักเคลื่อนไหวด้านสิทธิมนุษยชน และผู้คัดค้าน

ตัวอย่างที่โด่งดังที่สุดคือ NSO Group ซึ่งมีฐานอยู่ในอิสราเอลและสปายแวร์ Pegasus ซึ่งขึ้นบัญชีดำบริษัทในสหรัฐอเมริกา

ผ่าน: TechCrunch (เปิดในแท็บใหม่)