據(jù)BleepingComputer 11月30日消息，谷歌的威脅分析小組 (TAG) 發(fā)現(xiàn)一家西班牙軟件公司試圖利用 Chrome 、 Firefox 瀏覽器以及 Microsoft Defender 安全應用程序中的漏洞從事間諜活動，目前漏洞已經(jīng)得到修復。

谷歌TAG表示，這家總部位于巴塞羅那的軟件公司雖然官方宣稱是一家安全解決方案提供商，但其實也從事商業(yè)監(jiān)控活動。

該公司使用Heliconia 框架，利用了 Chrome、Firefox 和 Microsoft Defender 中的 N-day 漏洞，提供了將有效載荷部署到目標設備所需的所有工具。該利用框架由多個組件組成，每個組件都針對目標設備軟件中的特定安全漏洞：

• Heliconia Noise：一個 Web 框架，用于部署 Chrome 渲染器錯誤利用，以及 Chrome 沙箱逃逸以在目標設備上安裝代理
• Heliconia Soft：一個部署包含 Windows Defender 漏洞的 PDF  Web 框架，被跟蹤為 CVE-2021-42298
• Heliconia 文件：一組針對 Linux 和 Windows 的 Firefox 漏洞利用，其中一個被跟蹤為 CVE-2022-26485

對于 Heliconia Noise 和 Heliconia Soft，這些漏洞最終會在受感染的設備上部署名為“agent_simple”的代理。

TAG分析了一個包含虛擬代理的框架樣本，得到的結果是在運行和退出的情況下未執(zhí)行任何惡意代碼，認為該框架的客戶提供了他們自己的代理，或者是谷歌沒有權限訪問整個框架。

盡管沒有證據(jù)表明目標安全漏洞被積極利用，并且谷歌、Mozilla 和微軟在 2021 年和 2022 年初修補了這些漏洞，但TAG 表示這些漏洞很可能在野外被用作零日漏洞。

對間諜軟件供應商的跟蹤

TAG 屬于谷歌旗下的安全專家團隊，專注于保護谷歌用戶免受國家支持的網(wǎng)絡攻擊，但團隊也跟蹤了數(shù)十家從事間諜或監(jiān)視服務的公司。

2022年6 月，TAG 注意到意大利間諜軟件供應商 RCS Labs在一些互聯(lián)網(wǎng)服務提供商 (ISP) 的幫助下，在意大利和哈薩克斯坦的 Android 和 iOS 用戶的設備上部署了商業(yè)監(jiān)控工具。期間，目標用戶被提示安裝偽裝成合法移動運營商應用的監(jiān)控軟件。

最近，TAG 揭露了另一場監(jiān)視活動，受國家支持的攻擊者利用五個零日漏洞，在目標設備上安裝商業(yè)間諜軟件開發(fā)商 Cytrox 開發(fā)的 Predator 間諜軟件。

TAG表示，間諜軟件行業(yè)的發(fā)展使用戶處于危險之中，并降低了互聯(lián)網(wǎng)的安全性，雖然根據(jù)國家或國際法律，監(jiān)控技術可能是合法的，但它們經(jīng)常以有害的方式被用來對一系列群體進行數(shù)字間諜活動。

參考來源：https://www.bleepingcomputer.com/news/security/google-discovers-windows-exploit-framework-used-to-deploy-spyware/