По словам Google, хакеры использовали шпионское ПО, сделанное в Испании, для нападения на пользователей в ОАЭ.

Опубликовано автором

В ноябре 2022 года Google сообщил о существовании тогда еще неизвестного поставщика шпионского ПО под названием Variston. Исследователи Google говорят, что видели хакеров, использующих инструменты Variton в Объединенных Арабских Эмиратах.

В Отчет опубликован в среду, Группа анализа угроз Google (TAG) заявила, что обнаружила хакеров, нацеленных на людей в ОАЭ, которые использовали собственный браузер Android от Samsung, который представляет собой адаптированную версию Chromium. Хакеры использовали набор уязвимостей, объединенных в цепочку и доставленных через одноразовые веб-ссылки, отправленные целям в виде текстового сообщения. Согласно новому сообщению в блоге TAG, две из четырех уязвимостей в цепочке на момент атаки относились к нулевому дню, то есть о них не сообщалось производителю программного обеспечения и они были неизвестны на тот момент.

Если цель нажмет на вредоносные веб-ссылки, она будет перенаправлена ​​на целевую страницу, «идентичную единственному TAG, проверенному в Фреймворк Heliconia Разработан поставщиком коммерческого шпионского ПО Variston. (В обеих кампаниях использовалась одна и та же уникальная целевая страница, сообщил Google TechCrunch. Согласно сообщению, после взлома жертва будет заражена «полнофункциональным набором шпионских программ для Android», предназначенным для сбора данных из приложений чата и браузера.

«Актер, использующий цепочку эксплойтов для нацеливания на пользователей ОАЭ, может быть клиентом или партнером Variston или иным образом тесно сотрудничать с поставщиком шпионского ПО», — говорится в сообщении в блоге.

Неясно, кто стоит за хакерской кампанией и кто является жертвами. Представитель Google сообщил TechCrunch, что TAG обнаружил около 10 вредоносных веб-ссылок в сети. По словам Google, некоторые из ссылок перенаправлялись на StackOverflow после эксплуатации и могли быть тестовыми устройствами злоумышленника. TAG заявила, что неясно, кто стоит за хакерской кампанией.

ЧИТАТЬ   В последней партии YC, безусловно, было много вопросов «может быть, ИИ может сделать… это?»

Samsung не ответила на запрос о комментариях.

Ральф Вегенер и Раманан Джаяраман — основатели компании Variston. По данным разведки в Интернете, новостное онлайн-издание, освещающее индустрию видеонаблюдения. Ни один из основателей не ответил на запрос о комментариях. Штаб-квартира Variston находится в Барселоне, Испания. Согласно записям о регистрации бизнеса в Италии, Variston приобрела итальянскую исследовательскую компанию «нулевого дня» Truel в 2018 году.

Google также заявил в среду, что обнаружил хакеров, использующих ошибку нулевого дня iOS, исправленную в ноябре, для удаленной установки шпионского ПО на устройства пользователей. Исследователи говорят, что они наблюдали, как злоумышленники злоупотребляют уязвимостью в системе безопасности в рамках цепочки эксплойтов, нацеленных на владельцев iPhone с iOS 15.1 и старше в Италии, Малайзии и Казахстане.

Уязвимость была обнаружена в движке браузера WebKit, на котором работает Safari и другие приложения. Впервые о ней сообщили исследователи Google TAG. Apple исправила ошибку в декабре, подтвердив, что в то время компания знала об активном использовании уязвимости «в версиях iOS, выпущенных до iOS 15.1».

Хакеры также использовали вторую уязвимость iOS, описанную как метод обхода PAC, который был исправлен Apple в марте 2022 года. Исследователи Google говорят, что это именно тот метод, который использовал северомакедонский разработчик шпионского ПО Citrox для установки своего шпионского ПО Predator. Ранее Citizen Lab опубликовала отчет, в котором подчеркивается широкое использование правительством шпионского ПО Predator.

Google также заметил, что хакеры использовали ряд трех ошибок Android, нацеленных на устройства с графическим чипом на базе ARM, включая одну ошибку нулевого дня. Google заявил, что ARM выпустила исправление, но несколько поставщиков, в том числе Samsung, Xiaomi, Oppo и сама Google, не включили исправление, что привело к «ситуации, когда злоумышленники могли свободно эксплуатировать ошибку в течение нескольких месяцев», — говорится в сообщении Google. .

ЧИТАТЬ   Следственный комитет РФ возбудил дело о теракте по факту нападения украинских диверсантов на Брянскую область

По словам Google, обнаружение новых хакерских кампаний является «напоминанием о том, что индустрия коммерческого шпионского ПО продолжает процветать». Для Интернета».

«Эти кампании также могут свидетельствовать о том, что поставщики средств наблюдения совместно используют эксплойты и методы, что способствует распространению опасных хакерских инструментов», — говорится в блоге.

Source

Похожие записи:

  1. Стартап по производству морепродуктов на растительной основе The ISH Company использует новую волну финансирования для коммерциализации трубопровода
  2. По словам соучредителя Immutable, Web3 Gaming необходимо сосредоточиться на устойчивой экономике
  3. Хакеры используют уязвимость VMware двухлетней давности для запуска крупномасштабной кампании по вымогательству
  4. Гигант безопасности Rubrik говорит, что хакеры использовали Fortra Zero-day для кражи внутренних данных