Google威胁分析小组(Threat Analysis Group,TAG)在本周披露了一个由西班牙商业间谍软件供应商Variston IT所打造的攻击框架Heliconia,该框架不仅利用了Chrome、Firefox与Microsoft Defender的零时差漏洞,也提供所有于目标设备上部署酬载(Payload)的必要工具。
TAG长期关注各个商业间谍软件供应商活动,该产业这几年发展蓬勃,让许多政府客户得以利用它们所开发的平台或工具来监控新闻记者、人权斗士与异议份子,而TAG则是在收到匿名的Chrome错误报告时,发现Heliconia的存在。
TAG在Heliconia中发现了3个子框架,分别是用来攻击Chrome沙箱逃逸漏洞的Heliconia Noise,可用来部署含有Windows Defender攻击程序之PDF档的Heliconia Soft,以及可用来攻击Linux与Windows平台上Firefox多个安全漏洞的Files。
研究人员在Heliconia Noise中发现了开发商Variston IT的名称,这是一家位于西班牙巴塞罗那的小公司,专门替客户量身打造安全解决方案。
分析显示,Variston IT在Heliconia框架中所利用的安全漏洞不一定都有漏洞编号(CVE),即使包括Google、微软与Mozilla都已陆续在去年及今年初修补了被利用的漏洞,且现在并未侦测到任何攻击行动,但TAG团队相信,这些漏洞在企业修补之前应该已遭滥用。
相关研究彰显了商业监控活动的扩散,也让更多的国家能获得以往只有财力雄厚且具备技术专长的政府才能取得的能力,TAG认为,间谍软件产业的增长提高了用户的风险,也降低网络的安全性,即便在某些国家可能是合法的,却是以有害的方式来对待特定群体,促使TAG决定继续关注并披露它们。