فروشندگان نرم افزارهای جاسوسی از 0-days و n-days در برابر پلتفرم های محبوب استفاده می کنند

در دسامبر 2022، TAG یک زنجیره بهره برداری کامل متشکل از چندین روز 0 و n روز را کشف کرد که آخرین نسخه مرورگر اینترنت سامسونگ را هدف قرار می دهد. این اکسپلویت‌ها در پیوندهای یک‌باره ارسال شده از طریق پیام کوتاه به دستگاه‌های واقع در امارات متحده عربی (امارات متحده عربی) ارسال شدند.

این پیوند، کاربران را به یک صفحه فرود هدایت می‌کرد که مشابه TAG مورد بررسی در چارچوب Heliconia توسعه‌یافته توسط فروشنده نرم‌افزار جاسوسی تجاری Variston بود. زنجیره بهره‌برداری در نهایت یک مجموعه نرم‌افزار جاسوسی اندروید با ویژگی‌های کامل را ارائه کرد که به زبان C++ نوشته شده بود که شامل کتابخانه‌هایی برای رمزگشایی و ضبط داده‌ها از برنامه‌های مختلف چت و مرورگر است. بازیگری که از زنجیره سوء استفاده برای هدف قرار دادن کاربران امارات متحده عربی استفاده می کند ممکن است مشتری یا شریک Variston باشد یا در غیر این صورت با فروشنده جاسوس افزار همکاری نزدیک داشته باشد.

TAG زنجیره بهره‌برداری بازیابی شده به آخرین نسخه مرورگر سامسونگ تحویل داده شد که روی Chromium 102 اجرا می‌شود و شامل کاهش‌های اخیر نمی‌شود. اگر آنها وجود داشتند، مهاجمان برای دور زدن اقدامات کاهشی به آسیب‌پذیری‌های بیشتری نیاز داشتند. زنجیره بهره برداری شامل چند روز 0 و n روز بود:

  • CVE-2022-4262، یک نوع آسیب‌پذیری سردرگمی در کروم که در دسامبر 2022 (0 روز در زمان بهره‌برداری) رفع شد – مشابه CVE-2022-1134.
  • CVE-2022-3038، یک Sandbox escape در کروم در آگوست 2022، در نسخه 105 رفع شد و توسط سرگئی گلازونوف در ژوئن 2022 یافت شد.
  • CVE-2022-22706، یک آسیب پذیری در درایور هسته GPU Mali که توسط ARM در ژانویه 2022 برطرف شد و به عنوان در حال استفاده در طبیعت علامت گذاری شد. در زمان تحویل، جدیدترین سیستم عامل سامسونگ هیچ مشکلی برای رفع این آسیب‌پذیری ارائه نکرده بود. این آسیب پذیری به سیستم مهاجم دسترسی می دهد.
  • CVE-2023-0266، یک آسیب‌پذیری شرایط مسابقه در زیرسیستم صدای هسته لینوکس که توسط کاربر سیستم قابل دسترسی است و به هسته مهاجم دسترسی خواندن و نوشتن (0 روز در زمان بهره‌برداری) می‌دهد.

زنجیره اکسپلویت همچنین از نشت اطلاعات هسته چندگانه در 0 روز در هنگام بهره‌برداری از CVE-2022-22706 و CVE-2023-0266 استفاده کرد. گوگل این آسیب پذیری ها را به ARM و سامسونگ گزارش کرده است. CVE-2023-26083 برای نشت اطلاعات در مالی رزرو شده بود.

توجه داشته باشید، سامسونگ CVE-2022-4262 و CVE-2022-3038 را در مرورگر سامسونگ پس از نسخه 19.0.6 که در پایان دسامبر 2022 منتشر شد، رفع کرد.

IOC های مرتبط

  • www.sufficeconfigure[.]com – صفحه فرود و تحویل بهره برداری
  • www.anglesyen[.]org – بدافزار C2
  • ویژگی‌های سیستم اندروید زیر ممکن است نشانه‌های بهره‌برداری را نشان دهد
    • sys.brand.note
    • sys.brand.notes
    • sys.brand.doc
  • دایرکتوری زیر روی تلفن ممکن است نشانه‌های عفونت را نشان دهد