间谍软件 Candiru 利用 Chrome 0day 攻击记者

以色列监控软件厂商 Candiru 被指利用一个 Chrome 0day，通过监控软件 “DevilsTongue” 监控位于中东的记者和其他高度相关的个体。

遭利用的0day 编号为CVE-2022-2294，它是位于 WebRTC 中的一个堆缓冲区溢出漏洞，如遭成功利用可导致在目标设备上执行代码。谷歌在7月4日修复了该漏洞并表示该漏洞已遭活跃利用但并未提供更多详情。发现并报告该漏洞的Avast 的威胁研究员在报告中指出，调查针对客户的监控软件攻击后发现了该漏洞。

01

多起攻击活动和传播方法

Avast 表示，Candiru 在2022年3月开始利用CVE-2022-2294 攻击位于黎巴嫩、土耳其、也门和巴勒斯坦的用户。

攻击者利用常见的水坑攻击技术，攻陷了目标将会访问的网站并利用浏览器中的一个未知漏洞，通过监控软件感染目标。无需用户交互即可实施攻击。用户仅需在 Chrome 或另外一款基于 Chromium 的浏览器中打开该网站即可实施攻击，因此危害较大。

在某次攻击中，攻击者攻陷了黎巴嫩某新闻机构使用的网站并植入JavaScript 片段，导致XSS攻击并将合法目标重新路由至exploit 服务器。受害者触及服务器后，就会被以50个数据点的方式获得相关个人详情。如果发现目标是有效目标，则攻击者会建立加密数据通信，使0day利用发生。

Avast 在报告中指出，“所收集的信息包括受害者的语言、时区、屏幕时间、设备类型、浏览器插件、引荐人、设备内存、cookie 功能等。”

在黎巴嫩攻击事件中，该0day使攻击者在渲染器进程中执行 shellcode，并进一步利用沙箱逃逸漏洞实施攻击。

由于该漏洞位于 WebRTC中，因此它也影响苹果的 Safari 浏览器。不过Avast 发现的exploit仅适用于 Windows 系统。

实施初始感染后，DevilsTongue 利用BYOVD 步骤提升权限，并获得对该受陷设备内存的读写权限。有意思的是，Avast 发现Candiru 使用的BYOVD 也是一个0day，即使厂商推出安全更新，仍然无法对抗该监控软件，因为易受攻击的版本与其绑定。

虽然目前并不清楚攻击者针对的是何种数据，但Avast 认为威胁行动者利用该数据了解目标记者正在研究的新闻资讯，借此收集记者与新闻媒体分享的信息和敏感数据。

02

正在发生的监控软件威胁

商业监控软件厂商开发或购买0day exploit，攻击客户感兴趣的目标人群。

Avast 在报告中指出，上一次Candiru 被微软和公民实验室曝光时，该监控软件撤销了所有的DevilsTongue行动并躲在暗处执行行的 0day。遗憾的是，这种情况再次发生了。因此即使立即应用安全更新，也无法躲过商业监控软件。为解决这一问题，苹果计划在iOS 16 中推出“锁定模式”的新特性，限制设备特性和功能，防止敏感信息泄露或将监控软件感染的后果降至最低。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~