- 13,854
- 20
- 8 Ноя 2022
Компании эксплуатировали исправленные уязвимости для шпионских атак на iOS и Android.
Команда Google TAG Для просмотра ссылки Войдиили Зарегистрируйся , что поставщики коммерческого шпионского ПО использовали несколько исправленных 0day-уязвимостей для атак на устройства Android и iOS.
Две отдельные кампании были ограниченными и узконаправленными, в них использовался разрыв между выпуском исправления и моментом его фактического развертывания на целевых устройствах. Масштабы кампаний и характер целей в настоящее время неизвестны.
Первая кампания проходила в ноябре 2022 года и заключалась в отправке сокращенных ссылок в SMS-сообщениях пользователям в Италии, Малайзии и Казахстане. При нажатии на ссылку URL-адреса перенаправляли жертв на заражённые сайты, на которых размещены эксплойты для Android или iOS, а затем пользователи перенаправлялись на легитимные новостные сайты или сайты отслеживания почтовых отправлений.
Вторая кампания происходила в декабре 2022 года и состояла из нескольких нулевых дней в браузере Samsung, при этом эксплойты доставлялись через ссылки в SMS на устройства, расположенные в ОАЭ.
Ссылка ввела на сайт, похожий на сайт поставщика шпионского ПО из Испании Variston IT, которого Google TAG обвиняла Для просмотра ссылки Войдиили Зарегистрируйся . Вредоносный сайт доставлял на устройства шпионский инструмент на основе C++, способный собирать данные из чатов и браузеров.
Правозащитная организация Amnesty International Для просмотра ссылки Войдиили Зарегистрируйся декабрьскую кампанию как «передовую и изощренную» и что эксплойт «разработан коммерческой компанией по кибернаблюдению и продан правительственным хакерам для проведения целевых шпионских атак».
По словам Amnesty International, шпионское ПО и эксплойты доставлялись из сети, состоящей из более 1000 вредоносных доменов, включая домены, имитирующие сайты с медиаконтентом в разных странах.
Исследователи заключили, что две обнаруженные кампании — напоминание о том, что индустрия коммерческого шпионского ПО продолжает процветать. Даже мелкие поставщики средств видеонаблюдения имеют доступ к нулевым дням. Кампании могут также указывать на то, что поставщики систем видеонаблюдения обмениваются эксплойтами и методами взлома, способствуя распространению опасных хакерских инструментов.
Команда Google TAG Для просмотра ссылки Войди
Две отдельные кампании были ограниченными и узконаправленными, в них использовался разрыв между выпуском исправления и моментом его фактического развертывания на целевых устройствах. Масштабы кампаний и характер целей в настоящее время неизвестны.
Первая кампания проходила в ноябре 2022 года и заключалась в отправке сокращенных ссылок в SMS-сообщениях пользователям в Италии, Малайзии и Казахстане. При нажатии на ссылку URL-адреса перенаправляли жертв на заражённые сайты, на которых размещены эксплойты для Android или iOS, а затем пользователи перенаправлялись на легитимные новостные сайты или сайты отслеживания почтовых отправлений.
- Цепочка эксплойтов iOS использовала несколько уязвимостей – Для просмотра ссылки Войди
или Зарегистрируйся , Для просмотра ссылки Войдиили Зарегистрируйся и атаку Для просмотра ссылки Войдиили Зарегистрируйся для установки IPA-файла на устройство. - Цепочка эксплойтов для Android состояла из трех ошибок – Для просмотра ссылки Войди
или Зарегистрируйся , Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войдиили Зарегистрируйся — для доставки полезной нагрузки, которую экспертам определить не удалось.
Вторая кампания происходила в декабре 2022 года и состояла из нескольких нулевых дней в браузере Samsung, при этом эксплойты доставлялись через ссылки в SMS на устройства, расположенные в ОАЭ.
Ссылка ввела на сайт, похожий на сайт поставщика шпионского ПО из Испании Variston IT, которого Google TAG обвиняла Для просмотра ссылки Войди
- В операции эксплуатировались уязвимости Для просмотра ссылки Войди
или Зарегистрируйся , Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войдиили Зарегистрируйся . Эксперты предполагают, что цепочка эксплойтов использовалась клиентом или партнером Variston IT.
Правозащитная организация Amnesty International Для просмотра ссылки Войди
По словам Amnesty International, шпионское ПО и эксплойты доставлялись из сети, состоящей из более 1000 вредоносных доменов, включая домены, имитирующие сайты с медиаконтентом в разных странах.
Исследователи заключили, что две обнаруженные кампании — напоминание о том, что индустрия коммерческого шпионского ПО продолжает процветать. Даже мелкие поставщики средств видеонаблюдения имеют доступ к нулевым дням. Кампании могут также указывать на то, что поставщики систем видеонаблюдения обмениваются эксплойтами и методами взлома, способствуя распространению опасных хакерских инструментов.
- Источник новости
- www.securitylab.ru
