Home IT Sicherheits Updates Candiru Spyware beim Ausnutzen von Google Chrome Zero-Day erwischt, um Journalisten ins Visier zu nehmen

Candiru Spyware beim Ausnutzen von Google Chrome Zero-Day erwischt, um Journalisten ins Visier zu nehmen

by nwna_de

Der aktiv ausgenutzte, aber jetzt behobene Zero-Day-Fehler in Google Chrome, der Anfang dieses Monats ans Licht kam, wurde von einem israelischen Spyware-Unternehmen bewaffnet und bei Angriffen auf Journalisten im Nahen Osten eingesetzt.

Das tschechische Cybersicherheitsunternehmen Avast hat die Exploitation mit Candiru (alias Saito Tech) in Verbindung gebracht, das in der Vergangenheit zuvor unbekannte Schwachstellen ausgenutzt hat, um eine Windows-Malware mit dem Namen „ Teufelszungeein modulares Implantat mit Pegasus-ähnlichen Fähigkeiten.

Candiru, zusammen mit NSO Group, Computer Security Initiative Consultancy PTE. LTD. und Positive Technologies wurden im November 2021 vom US-Handelsministerium wegen Beteiligung an „böswilligen Cyberaktivitäten“ in die Unternehmensliste aufgenommen.

„Konkret fand ein großer Teil der Angriffe im Libanon statt, wo Journalisten zu den Zielpersonen gehörten“, berichtete der Sicherheitsforscher Jan Vojtěšek, der die Entdeckung des Fehlers berichtete, sagte in einer Zuschrift. “Wir glauben, dass die Angriffe sehr gezielt waren.”

Internet-Sicherheit

Die fragliche Schwachstelle ist CVE-2022-2294, Speicherbeschädigung in der WebRTC Komponente des Google Chrome-Browsers, die zur Ausführung von Shellcode führen kann. Es wurde von Google am 4. Juli 2022 behoben. Das gleiche Problem wurde seitdem von Apple und Microsoft in den Browsern Safari und Edge behoben.

Die Ergebnisse werfen Licht auf mehrere Angriffskampagnen des israelischen Hack-for-Hire-Anbieters, der im März 2022 mit einem überarbeiteten Toolset zurückgekehrt sein soll, um Benutzer im Libanon, in der Türkei, im Jemen und in Palästina über Watering-Hole-Angriffe mit Null anzugreifen -day-Exploits für Google Chrome.

Candiru-Spyware

Die im Libanon entdeckte Infektionssequenz begann damit, dass die Angreifer eine Website kompromittierten, die von Mitarbeitern einer Nachrichtenagentur verwendet wurde, um schädlichen JavaScript-Code von einer von Akteuren kontrollierten Domäne einzuschleusen, die für die Umleitung potenzieller Opfer auf einen Exploit-Server verantwortlich ist.

Über diese Watering-Hole-Technik wird ein Profil des Browsers des Opfers erstellt, das aus etwa 50 Datenpunkten besteht und unter anderem Details wie Sprache, Zeitzone, Bildschirminformationen, Gerätetyp, Browser-Plugins, Referrer und Gerätespeicher enthält.

Avast bewertete die gesammelten Informationen, um sicherzustellen, dass der Exploit nur an die beabsichtigten Ziele übermittelt wurde. Sollten die gesammelten Daten von den Hackern als wertvoll erachtet werden, wird der Zero-Day-Exploit dann über einen verschlüsselten Kanal an den Computer des Opfers übermittelt.

Internet-Sicherheit

Der Exploit wiederum missbraucht den Heap-Pufferüberlauf in WebRTC, um Shellcode-Ausführung zu erreichen. Der Zero-Day-Fehler soll mit einem Sandbox-Escape-Exploit (der nie behoben wurde) verkettet worden sein, um einen ersten Fuß zu fassen und damit die DevilsTongue-Payload fallen zu lassen.

Während die ausgeklügelte Malware in der Lage ist, die Webcam und das Mikrofon des Opfers, Keylogging, Exfiltrieren von Nachrichten, Browserverlauf, Passwörter, Standorte und vieles mehr aufzuzeichnen, wurde auch beobachtet, wie sie versuchte, ihre Privilegien zu eskalieren, indem sie einen anfälligen signierten Kerneltreiber installierte (“HW.sys“), die einen dritten Zero-Day-Exploit enthält.

Anfang Januar dieses Jahres hat ESET erklärt wie anfällig signierte Kernel-Treiber – ein Ansatz namens Bring Your Own Vulnerable Driver (BYOVD) – können zu unbewachten Gateways für böswillige Akteure werden, um sich verschanzten Zugriff auf Windows-Computer zu verschaffen.

Die Offenlegung erfolgt eine Woche, nachdem Proofpoint enthüllte, dass nationalstaatliche Hackergruppen, die mit China, dem Iran, Nordkorea und der Türkei verbündet sind, seit Anfang 2021 Journalisten ins Visier genommen haben, um Spionage zu betreiben und Malware zu verbreiten.

Via HN