Google’ın Tehdit Analizi Grubu (TAG), Chrome, Firefox ve Microsoft Defender’daki sıfır gün ve n gün güvenlik açıklarından yararlanmak için oluşturulmuş Heliconia adlı bir siber saldırı çerçevesi keşfetti. Büyük olasılıkla, bu gölgeli segmentin nasıl geliştiğini vurgulayan Variston IT adlı bir gri pazar casus yazılım komisyoncusu ile bağlantıları vardır.
Heliconia tehdidi üç modülden oluşur:
- Heliconia Noise, Chrome tarayıcısını riske attığı, korumalı alandan çıktığı ve kötü amaçlı yazılım yüklediği için;
- Heliconia Soft, CVE-2021-42298 için SİSTEM’e ayrıcalık yükseltmeye ve uzaktan kod yürütmeye (RCE) izin veren bir Windows Defender istismarı içeren bir PDF dağıtan bir Web çerçevesi;
- Ve RCE için CVE-2022-26485 dahil olmak üzere Windows ve Linux için tamamen belgelenmiş bir Firefox istismar zinciri içeren Heliconia Files paketi.
TAG, Chrome hata raporlama programına anonim bir gönderim aldıktan sonra tehdidin farkına vardı. Daha fazla araştırma sonucunda, Heliconia çerçevesinin kaynak kodunun, “özel güvenlik çözümleri” sağladığını iddia eden Barselona merkezli bir varlık olan Variston IT’ye işaret eden bir komut dosyası içerdiği bulundu.
Ticari casus yazılımlar genellikle meşru şirketler olduklarını iddia eden kuruluşlar tarafından “kanun yaptırımı tarafından kullanılmak üzere” satılır. Bununla birlikte, artan kanıtlar, bu simsarların müşterilerini çok sık incelemediğini ve “gelişmiş gözetleme yeteneklerini onları gazeteciler, insan hakları aktivistleri, siyasi muhalefet ve muhalifleri gözetlemek için kullanan hükümetlerin ellerine bıraktığını” gösteriyor. gönderiyi ETİKETLE Çarşamba günü.
Araştırmacılar, Variston IT’nin, Pegasus casus yazılımının yaratıcısı olan kötü şöhretli NSO Group gibi kuruluşlara karşı Amerika Birleşik Devletleri ve diğerleri tarafından yaptırım uygulanan bir alan olan bu hızla çoğalan pazarın tam ortasında olduğunu belirtti.
TAG araştırmacıları, “Ticari gözetim endüstrisi gelişiyor ve son yıllarda önemli ölçüde genişleyerek dünya genelindeki İnternet kullanıcıları için risk oluşturuyor” diye ekledi. “Gözetleme teknolojisi ulusal veya uluslararası yasalar kapsamında yasal olsa da, genellikle çeşitli gruplara karşı dijital casusluk yapmak için zararlı şekillerde kullanılır.”
Şimdiye kadar, modüllerin hiçbiri vahşi ortamdaki mevcut saldırılarda görülmedi, ancak TAG araştırmacıları, içerdikleri güvenlik açıklarını düzeltilmeden önceki sıfır gün olarak kullanmak da dahil olmak üzere, muhtemelen geçmişte konuşlandırıldıklarına dikkat çekti.