ในวันพฤหัสบดีที่ 19 พฤษภาคม Threat Analysis Group (TAG) ของ Google รายงานว่า Cytrox ผู้พัฒนาสปายแวร์ ได้พัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่ Zero-day 5 รายการ เพื่อกำหนดเป้าหมายไปยังผู้ใช้ Android ด้วยสปายแวร์
มีการใช้งานช่องโหว่ Zero-day ร่วมกับช่องโหว่ n-day เพื่อติดตั้งสปายแวร์ โดยได้มีการพัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่สำหรับ Chrome Zero-day และ 1 ช่องโหว่สำหรับ Android Zero-day
- CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 in Chrome
- CVE-2021-1048 in Android
นักวิจัย TAG Clement Lecigne และ Christian Resell อธิบายว่ามีการใช้งานเครื่องมือที่ใช้ในการโจมตี Zero-day ร่วมกับ n-day โดยผู้โจมตีพยายามใช้ประโยชน์จากความแตกต่างของระยะเวลาในการออกแพตช์ในระดับ Critical บางตัว ซึ่งบางครั้งแพตช์เหล่านี้ไม่ได้ถูกปล่อยออกมาพร้อมกันบนอุปกรณ์ Android ทั้งหมดจากผู้ให้บริการในแต่ละราย
ตามข้อมูลของ Google ช่องโหว่ดังกล่าวรวมอยู่ในรายการสปายแวร์ของ Cytrox ที่ขายให้กับผู้ดำเนินการที่มีส่วนเกี่ยวข้องกับภาครัฐของชาติต่างๆ เช่น อียิปต์ อาร์เมเนีย กรีซ มาดากัสการ์ โกตดิวัวร์ เซอร์เบีย สเปน และอินโดนีเซีย ซึ่งผู้โจมตีกำลังใช้สปายแวร์ Predator ใน 3 แคมเปญที่แตกต่างกันในรายงานการวิเคราะห์จาก Citizen Lab ของมหาวิทยาลัยโตรอนโต
TAG ตรวจสอบ 3 แคมเปญ และได้สรุปว่าผู้โจมตีจะทำการส่งลิงก์ไปยังผู้ใช้ Android ผ่าน spear-phishing emails ลิงก์เหล่านี้จะถูกย่อโดยใช้ URL shortener ที่ใช้ทั่วไป ซึ่งผู้โจมตีจะมุ่งเป้าไปยังเหยื่อเพียงไม่กี่ราย เมื่อเหยื่อคลิกที่ URL เหล่านี้ ก็จะทำให้ถูกเปลี่ยนเส้นทางไปยังโดเมนภายใต้การควบคุมของผู้โจมตีซึ่งใช้ในการโจมตีช่องโหว่ดังกล่าว ก่อนที่จะเปลี่ยนเส้นทางกลับไปยังเว็บไซต์ที่ถูกต้อง การกระทำดังกล่าวใช้เพื่อส่ง ALIEN Android banking Trojan ที่ทำหน้าที่เป็นตัวโหลด Cytrox's Predator
ด้านล่างนี้คือแคมเปญ 3 แคมเปญที่ Google TAG บันทึกไว้
- Campaign #1 – redirecting to SBrowser from Chrome (CVE-2021-38000)
- Campaign #2 – Chrome sandbox escape (CVE-2021-37973, CVE-2021-37976)
- Campaign #3 – Full Android 0-day exploit chain (CVE-2021-38003, CVE-2021-1048)
แคมเปญแรกถูกพบในเดือนสิงหาคมปีที่แล้วบน Google Chrome โดยกำหนดเป้าหมายไปที่อุปกรณ์ Samsung Galaxy S21 หนึ่งเดือนต่อมา แคมเปญที่สองกำหนดเป้าหมายเป็น Samsung Galaxy S10 ในขณะที่แคมเปญที่สามถูกตรวจพบในเดือนตุลาคม 2021
เป้าหมายหลักของผู้ที่อยู่เบื้องหลังการโจมตีคือการกระจาย Alien malware ซึ่งเป็นตัวการสำคัญสำหรับการติดตั้ง Predator spyware บนอุปกรณ์ที่ถูกโจมตี โดยจะรับคำสั่งจาก Predator ผ่านกลไก IPC (inter-process communication) และสามารถบันทึกเสียง, ซ่อนแอป และเพิ่ม CA certificates เพื่อหลบเลี่ยงการตรวจจับ
ที่มา : securityaffairs. hackread.
You must be logged in to post a comment.