محققان کارزارهایی را شناسایی کردهاند که با سوءاستفاده از ضعفهای امنیتی روز-صفر (Zero day) و همچنین آسیبپذیریهای شناخته شده، کاربران iOS و Android را جهت نصب جاسوسافزارها مورد هدف قرار دادهاند.
این حملات عمدتاً در ایتالیا، مالزی، قزاقستان، و امارات متحده عربی مشاهده شده و نشانههای کارزارهای حمایتشده دولتی را داشتهاند.
در دو کارزار شناسایی شده، مهاجمان ناشناس از زنجیرهای از ضعفهای امنیتی سوءاستفاده کردند که شامل آسیبپذیریهای شناخته شده و باگهایی میباشند که در زمان بکارگیری آنها هنوز روز-صفر بودند. در اولین سری از حملات به دستگاههای آسیبپذیر iOS و Android، مهاجمان اقدام به ارسال لینکهای کوتاه شده به قربانیان از طریق پیامک نمودند. قربانیان با کلیک بر روی لینکها، به سایتهایی هدایت میشدند که اکسپلویتها را بر روی هر نوع سیستمعاملی اجرا مینمود. Google Threat Analysis Group در آبان 1401 این کارزار را کشف کرد و توانست زنجیره آسیبپذیریهای سوءاستفاده شده در دستگاههای iOS و Android را شناسایی کند.
در حملات اجرا شده در سیستمهای iOS، ضعف امنیتی CVE-2022-42856 (ضعفی در WebKit) مورد سوءاستفاده قرار گرفت که در زمان وقوع حملات یک آسیبپذیری روز-صفر بود. ضعف امنیتی دیگر دارای شناسه CVE-2021-30900 بود که موجب دورزدن Sandbox در سیستمعامل iOS و «افزایش سطح دسترسی» (Privilege Escalation) میشد. شرکت اپل (Apple)، آسیبپذیری CVE-2021-30900 را در iOS 15.1 و CVE-2022-42856 را در iOS 12.5.7 در دی ماه ترمیم و وصله آن را منتشر نمود.
در حملاتی که کاربران Android را مورد هدف قرار میدهند، سه آسیبپذیری مجزا بکار گرفته شده است؛ یکی از آنها ضعفی روز صفر (CVE-2022-4135) در Chrome GPU است. آسیبپذیری دوم، باگی در Chrome و سومی در درایور هسته ARM Mali GPU میباشد.
شایان ذکر است که کاربران هنگام استفاده از مرورگر اینترنت سامسونگ (Samsung Internet Browser)، با استفاده از قابلیت Intent Redirection به Chrome هدایت میشدند. در حالی که پیشتر ما شاهد بودیم که مهاجمان، مشابه سوءاستفاده از ضعف CVE-2022-2856، کاربران را از Chrome به Samsung Internet Browser، هدایت میکردند اما در این مورد، تغییر مسیر به شکل دیگری رخ میدهد.
هنگامی که وصله آسیبپذیری CVE-2022-38181 برای ARM Mali GPU منتشر کرد، وصلهها بلافاصله توسط سازندگان گنجانده و اعمال نشدند و این منجر به سوءاستفاده گسترده از ضعف امنیتی مذکور شد.
این کارزارها یادآور این هستند که جاسوسافزارهای تجاری همچنان به رشد خود ادامه میدهند. حتی سازندگان جاسوسی خرد نیز به دنبال سوءاستفاده از ضعفهای امنیتی روز-صفر میباشند.
همچنین محققان Amnesty International Security Lab دومین کارزار را شناسایی کردند که در آن کاربران Android مورد هدف قرار گرفتهاند و با همکاری Google Threat Analysis Group آن را تحلیل نمودند. این کارزار از چندین آسیبپذیری، از جمله ضعف امنیتی روز-صفر Chromeا(CVE-2022-4262) که منجر به دورزدن Sandbox مربوط به Chrome میشود، سوءاستفاده میکند. ضعف امنیتی روز-صفر دیگر دارای شناسه CVE-2023-0266 است و Linux Kernel از آن تاثیر میپذیرد. به نقل از محققان، این کارزار حداقل از سال 2020 فعال بوده است. هدف هر دو این کارزارها نصب مجموعه نرمافزارهای جاسوسی بوده که مهاجمان را قادر به کنترل دستگاههای قربانیان میکرد. گرچه نه گوگل و نه Amnesty International Security Lab هیچ کدام در گزارش خود نامی از سازنده این نرمافزارهای جاسوسی نبردهاند.
جزئیات بیشتر این کارزارها در نشانی زیر قابل مطالعه میباشد:
منبع:
https://duo.com/decipher/new-spyware-campaigns-exploit-ios-and-android-zero-days