谷歌称软件供应商Variston与漏洞利用框架有关联
谷歌的威胁分析小组(TAG)已将三个开发框架以及几个漏洞与一家名为Variston的西班牙商业间谍软件供应商联系起来。据了解,这家公司为嵌入式系统提供安全产品和定制补丁,包括工业控制系统(ICS)和物联网,还提供数据发现服务和培训。之前,谷歌发现了三种不同的漏洞利用框架,Heliconia Noise、 Heliconia Soft、Heliconia file。值得注意的是,Heliconia Files由中国网络安全公司奇虎360发现,目前已于3月通过紧急Firefox更新对其进行了修补。
在跟踪商业间谍软件供应商的活动时,Threat Analysis Group (TAG) 发现了一个可能与西班牙公司 Variston IT 相关的开发框架。
ⓘ
Variston 官方声称为嵌入式系统提供定制安全解决方案和定制补丁。
专家报告说,该框架包括对 Chrome、Firefox 和 Microsoft Defender 中的 n-day 漏洞的利用,该公司还提供了一组工具,用于将恶意负载部署到目标设备。
该公司利用的谷歌、微软和 Mozilla 中的漏洞已在 2021 年和 2022 年初得到修复。TAG 的研究表明,上述问题被监控供应商在野外用作零日漏洞。
TAG 在收到匿名提交给 Chrome 错误报告程序的报告后发现了 Heliconia 框架。
提交者报告了三种不同的利用框架、说明和包含源代码的存档。他们在错误报告中的名字是“Heliconia Noise”、“Heliconia Soft”和“Files”。研究人员注意到源代码中的一个脚本包含指向开发框架的可能开发者 Variston IT 的线索。
“虽然这些漏洞现在已被修补,但我们评估这些漏洞很可能在修复之前被用作 0-day。” 阅读谷歌发布的分析。
Heliconia Noise: 一个 Web 框架,用于部署针对 Chrome 渲染器错误的漏洞利用,然后进行沙箱逃逸
Heliconia Soft: 部署包含 Windows Defender 漏洞的 PDF 的 Web 框架
文件: 一组适用于 Linux 和 Windows 的 Firefox 漏洞。
Heliconia Noise Web 框架用于部署 Chrome 渲染器漏洞,然后是 Chrome 沙箱逃逸和代理安装。Chrome 渲染器漏洞支持 90.0.4430.72(2021 年 4 月)至 91.0.4472.106(2021 年 6 月)的 Chrome 版本,并触发已于 2021 年 8 月修复的 V8 去优化器问题 。
Heliconia Soft Web 框架利用 Microsoft Defender 中的CVE-2021-42298远程代码执行漏洞,该漏洞已于 2021 年 11 月修复。当受害者下载经 Windows Defender 扫描的特制 PDF 文件时,就会触发该漏洞利用。
Heliconia 文件框架为 Windows 和 Linux 提供了一个 Firefox 漏洞利用链。它利用 Firefox 中的CVE-2022-26485 远程代码执行,Mozilla 于 2022 年 3 月解决了该错误。
“TAG 的研究表明商业监视的扩散以及商业间谍软件供应商开发的能力的程度,这些能力以前只有财力雄厚和技术专长的政府才能使用。间谍软件行业的发展使用户处于危险之中,并降低了互联网的安全性,虽然根据国家或国际法律,监控技术可能是合法的,但它们经常以有害的方式被用来对一系列群体进行数字间谍活动。” TAG 总结道。“这些滥用行为对在线安全构成严重威胁,这就是为什么谷歌和 TAG 将继续对商业间谍软件行业采取行动并发布有关研究的原因。”
