Ряды борцов с поставщиками коммерческого шпионского ПО пополняются.
Вслед за Microsoft, Google и Citizen Lab очередное разоблачение подкатили ресерчеры Avast, которые обнаружили, что израильский поставщик шпионского ПО Candiru использовал уязвимость 0-day в Google Chrome для шпионажа за журналистами и другими лицами на Ближнем Востоке с помощью ПО DevilsTongue.
После наезда Citizen Lab разработчик софта прекратил все операции DevilsTongue и ушел в тень, как оказалось для переоснащения своего арсенала.
На вооружение взяли CVE-2022-2294, которая представляет собой серьезное переполнение буфера динамической памяти в WebRTC и в случае успешного использования может привести к RCE на целевом устройстве.
Патч для баги, как мы сообщали ранее, был выпущен Google 4 июля, однако подробности эксплуатации 0-day тогда не раскрывались. Теперь они представлены в отчете Avast.
Candiru начала применять уязвимость в марте 2022 года, нацеливаясь на цели в Ливане, Турции, Йемене и Палестине.
Операторы шпионского ПО использовали распространенную тактику атаки на водопой, компрометируя целевые или создавая новые веб-сайты, на которые впоследствии с браузеров на основе Chromium обращались жертвы, как правило, после целевого фишинга или использования других методов.
В одном случае злоумышленники подломили веб-сайт информационного агентства в Ливане и внедрили фрагменты JavaScript, которые позволили проводить атаки XXS и перенаправляли действительные цели на сервер с эксплойтом.
После чего жертвы профилировались, а целевые устройства взламывались. Злоумышленники собирали информацию в отношении языка, часового пояса, экрана, типа устройства, плагинов браузера, памяти устройства, функциональности файлов cookie и др.
В случае с Ливаном эксплуатация 0-day позволила актору выполнить шелл-код внутри процесса рендеринга и реализовать другую уязвимостью выхода из песочницы, которую Avast не смогли воспроизвести. Вместе с тем, обнаруженный эксплойт работал только в среде Windows.
После первоначального заражения DevilsTongue использовал BYOVD, чтобы повысить привилегии и получить доступ для чтения и записи к памяти скомпрометированного устройства.
Avast установили, что BYOVD, используемый Candiru, также являлся 0-day, который невозможно исправить даже с обновлением.
Ресерчеры Avast не смогли точно идентифицировать конечную стратегическую цель обнаруженной кампании, полагая, что атаки были реализованы для наблюдения за отдельными персоналиями, данные которых также пока не разглашаются.
Но будем посмотреть: похоже, что у этой истории точно будет продолжение.
• Source: https://decoded.avast.io/janvojtesek/the-return-of-candiru-zero-days-in-the-middle-east/
Вслед за Microsoft, Google и Citizen Lab очередное разоблачение подкатили ресерчеры Avast, которые обнаружили, что израильский поставщик шпионского ПО Candiru использовал уязвимость 0-day в Google Chrome для шпионажа за журналистами и другими лицами на Ближнем Востоке с помощью ПО DevilsTongue.
После наезда Citizen Lab разработчик софта прекратил все операции DevilsTongue и ушел в тень, как оказалось для переоснащения своего арсенала.
На вооружение взяли CVE-2022-2294, которая представляет собой серьезное переполнение буфера динамической памяти в WebRTC и в случае успешного использования может привести к RCE на целевом устройстве.
Патч для баги, как мы сообщали ранее, был выпущен Google 4 июля, однако подробности эксплуатации 0-day тогда не раскрывались. Теперь они представлены в отчете Avast.
Candiru начала применять уязвимость в марте 2022 года, нацеливаясь на цели в Ливане, Турции, Йемене и Палестине.
Операторы шпионского ПО использовали распространенную тактику атаки на водопой, компрометируя целевые или создавая новые веб-сайты, на которые впоследствии с браузеров на основе Chromium обращались жертвы, как правило, после целевого фишинга или использования других методов.
В одном случае злоумышленники подломили веб-сайт информационного агентства в Ливане и внедрили фрагменты JavaScript, которые позволили проводить атаки XXS и перенаправляли действительные цели на сервер с эксплойтом.
После чего жертвы профилировались, а целевые устройства взламывались. Злоумышленники собирали информацию в отношении языка, часового пояса, экрана, типа устройства, плагинов браузера, памяти устройства, функциональности файлов cookie и др.
В случае с Ливаном эксплуатация 0-day позволила актору выполнить шелл-код внутри процесса рендеринга и реализовать другую уязвимостью выхода из песочницы, которую Avast не смогли воспроизвести. Вместе с тем, обнаруженный эксплойт работал только в среде Windows.
После первоначального заражения DevilsTongue использовал BYOVD, чтобы повысить привилегии и получить доступ для чтения и записи к памяти скомпрометированного устройства.
Avast установили, что BYOVD, используемый Candiru, также являлся 0-day, который невозможно исправить даже с обновлением.
Ресерчеры Avast не смогли точно идентифицировать конечную стратегическую цель обнаруженной кампании, полагая, что атаки были реализованы для наблюдения за отдельными персоналиями, данные которых также пока не разглашаются.
Но будем посмотреть: похоже, что у этой истории точно будет продолжение.
• Source: https://decoded.avast.io/janvojtesek/the-return-of-candiru-zero-days-in-the-middle-east/
