در دسامبر 2022، TAG یک زنجیره بهره برداری کامل متشکل از چندین روز 0 و n روز را کشف کرد که آخرین نسخه مرورگر اینترنت سامسونگ را هدف قرار می دهد. این اکسپلویتها در پیوندهای یکباره ارسال شده از طریق پیام کوتاه به دستگاههای واقع در امارات متحده عربی (امارات متحده عربی) ارسال شدند.
این پیوند، کاربران را به یک صفحه فرود هدایت میکرد که مشابه TAG مورد بررسی در چارچوب Heliconia توسعهیافته توسط فروشنده نرمافزار جاسوسی تجاری Variston بود. زنجیره بهرهبرداری در نهایت یک مجموعه نرمافزار جاسوسی اندروید با ویژگیهای کامل را ارائه کرد که به زبان C++ نوشته شده بود که شامل کتابخانههایی برای رمزگشایی و ضبط دادهها از برنامههای مختلف چت و مرورگر است. بازیگری که از زنجیره سوء استفاده برای هدف قرار دادن کاربران امارات متحده عربی استفاده می کند ممکن است مشتری یا شریک Variston باشد یا در غیر این صورت با فروشنده جاسوس افزار همکاری نزدیک داشته باشد.
TAG زنجیره بهرهبرداری بازیابی شده به آخرین نسخه مرورگر سامسونگ تحویل داده شد که روی Chromium 102 اجرا میشود و شامل کاهشهای اخیر نمیشود. اگر آنها وجود داشتند، مهاجمان برای دور زدن اقدامات کاهشی به آسیبپذیریهای بیشتری نیاز داشتند. زنجیره بهره برداری شامل چند روز 0 و n روز بود:
- CVE-2022-4262، یک نوع آسیبپذیری سردرگمی در کروم که در دسامبر 2022 (0 روز در زمان بهرهبرداری) رفع شد – مشابه CVE-2022-1134.
- CVE-2022-3038، یک Sandbox escape در کروم در آگوست 2022، در نسخه 105 رفع شد و توسط سرگئی گلازونوف در ژوئن 2022 یافت شد.
- CVE-2022-22706، یک آسیب پذیری در درایور هسته GPU Mali که توسط ARM در ژانویه 2022 برطرف شد و به عنوان در حال استفاده در طبیعت علامت گذاری شد. در زمان تحویل، جدیدترین سیستم عامل سامسونگ هیچ مشکلی برای رفع این آسیبپذیری ارائه نکرده بود. این آسیب پذیری به سیستم مهاجم دسترسی می دهد.
- CVE-2023-0266، یک آسیبپذیری شرایط مسابقه در زیرسیستم صدای هسته لینوکس که توسط کاربر سیستم قابل دسترسی است و به هسته مهاجم دسترسی خواندن و نوشتن (0 روز در زمان بهرهبرداری) میدهد.
زنجیره اکسپلویت همچنین از نشت اطلاعات هسته چندگانه در 0 روز در هنگام بهرهبرداری از CVE-2022-22706 و CVE-2023-0266 استفاده کرد. گوگل این آسیب پذیری ها را به ARM و سامسونگ گزارش کرده است. CVE-2023-26083 برای نشت اطلاعات در مالی رزرو شده بود.
توجه داشته باشید، سامسونگ CVE-2022-4262 و CVE-2022-3038 را در مرورگر سامسونگ پس از نسخه 19.0.6 که در پایان دسامبر 2022 منتشر شد، رفع کرد.
IOC های مرتبط
- www.sufficeconfigure[.]com – صفحه فرود و تحویل بهره برداری
- www.anglesyen[.]org – بدافزار C2
- ویژگیهای سیستم اندروید زیر ممکن است نشانههای بهرهبرداری را نشان دهد
- sys.brand.note
- sys.brand.notes
- sys.brand.doc
- دایرکتوری زیر روی تلفن ممکن است نشانههای عفونت را نشان دهد