Google TAG 警告:複数の Zero-Day/N-Day エクスプロイトを用いるキャンペーンについて

Google TAG shares details about exploit chains used to install commercial spyware

2023/03/29 SecurityAffairs — Android/iOS/Chrome に対して複数のゼロデイ・エクスプロイトを悪用する、2つのキャンペーンの詳細を、Google Threat Analysis Group (TAG) が公開した。専門家たちは、どちらのキャンペーンも、限定的で高度な標的型であったと述べている。攻撃の背後にいる脅威アクターは、エクスプロイトに Zero-Day と N-Day の両方を使用していたという。これらのエクスプロイト・チェーンは、ターゲットのデバイスに商用スパイウェアや悪意のアプリをインストールするために使用されていたようだ。


1つ目のキャンペーンは、2022年11月に TAG の研究者たちに発見されたものであり、 Android/iOS に影響を与え、SMS で送られる bit.ly リンクを通じて、ユーザーに配信されていた。このキャンペーンは、イタリア/マレーシア/カザフスタンなどのユーザーを対象としていた。送られたリンクをクリックしたターゲットは、 Android/iOS 向けのエクスプロイトをホストするページにリダイレクトされた後に、イタリアに拠点を置く物流会社 BRT や、マレーシアの人気ニュースサイトなどの、正規の Web サイトにリダイレクトされる。

イニシャルのランディング・ページには、WebKit によるリモート・コード実行のゼロデイ CVE-2022-42856/サンドボックス脱出の CVE-2021-30900 の脆弱性を悪用するエクスプロイトがホストされていることが確認された。

このキャンペーンでは、最終的なペイロードは、デバイスの GPS 位置を Ping バックし、感染したデバイスに .IPA ファイル (iOS アプリケーション・アーカイブ) をインストールするシンプルなステージャだった。

1つ目のキャンペーンの Android エクスプロイト・チェーンは、Chrome 106 以下を実行している、ARM GPU を搭載した携帯電話のユーザーをターゲットにしていた。このエクスプロイト・チェーンは、1つのゼロデイを含む、3つのエクスプロイトで構成されていた:

  • CVE-2022-3723:Chrome のタイプ・コンフュージングの脆弱性であり、野放し状態での悪用を Avast が発見し、2022年10月にバージョン 107.0.5304.87 で修正された。
  • CVE-2022-4135:Android にのみ影響する Chrome GPU サンドボックス・バイパス (悪用時ゼロデイ) の脆弱性であり、2022年11月に修正された。Project Zero の Sergei Glazunov がエクスプロイトの分析に協力し、このバグのレポートが公開されている。
  • CVE-2022-38181:ARM が2022年8月に修正した権限昇格の脆弱性であり、ARM に報告される前に攻撃者が、この脆弱性のエクスプロイトを持っていたかどうかは不明である。

Google TAG のブログには、「このエクスプロイト・チェーンの、最終的なペイロードは入手できなかった。ARM が CVE-2022-38181 の修正版をリリースした際に、すぐにパッチが適用されずに、バグの悪用という結果になったことが、Project Zero と Github Security Lab の最近のブログ記事で判明した」と記されている。

2つ目のキャンペーンは、複数の Zero-Day/N-Day を使用した、Samsung Internet Browser の最新バージョンを標的とするエクスプロイト・チェーンを、2022年12月に研究者たちが調査した際に発見された。

この攻撃の被害者は、Variston の商用スパイウェアに狙われたアラブ首長国連邦 (UAE) の人々だった。SMS でターゲットのデバイスに送信されるワンタイムリンクを、攻撃者は悪用していた。

このリンクは、Variston が開発した Heliconia フレームワークで調べたのと同じランディング・ページへと、ユーザーを誘導していた。このエクスプロイト・チェーンは、C++ で書かれた完成度の高い Android スパイウェア・スイートを配信し、さまざまなチャット/ブラウザなどのアプリからデータを盗み出していた。専門家たちは、脅威アクターは Variston の顧客もしくはパートナー、あるいは、スパイウェア・ベンダーと密接に連携しているサードパーティである可能性が高いと見ている。

2つ目のエクスプロイト・チェーンには、以下の Zero-Day/N-Day が含まれていた:

  • CVE-2022-4262:2022年12月に修正された Chrome のタイプ・コンフュージョンの脆弱性 (悪用時ゼロデイ) に脆弱性であり、CVE-2022-1134 に類似している。
  • CVE-2022-3038:2022年8月に修正された Chrome のサンドボックス・エスケープの脆弱性。Chrome 105 上において、2022年6月に Sergei Glazunov に発見された。
  • CVE-2022-22706:ARM が 2022年1月に修正した Mali GPU Kernel Driver の脆弱性であり、野放し状態で悪用されていた証拠がある。配信時点では、最新の Samsung ファームウェアには、この脆弱性の修正が含まれていなかった。この脆弱性により、攻撃者はシステムのアクセスを許可される。
  • CVE-2023-0266:システム・ユーザーから到達可能な、Linux カーネルのサウンド・サブシステムにおける競合状態の脆弱性であり、攻撃者にカーネルの読取/書込アクセスを与える (悪用時ゼロデイ) 。

これらのキャンペーンについて、Google TAG は、Indicators of Compromise (IoC) を共有している。

このレポートは、「これらのキャンペーンは、商用スパイウェア産業が、依然として繁栄していることを想起させるものだ。小規模な監視ベンダーでさえ、ゼロデイにアクセスすることができ、ゼロデイ脆弱性を備蓄し、それらを秘密裏に悪用しているベンダーは、インターネットに深刻なリスクをもたらしている」と述べている。

さらに、「これらのキャンペーンは、監視ベンダーの間でエクスプロイトやテクニックが共有され、危険なハッキング・ツールの拡散が可能になっている状況を示唆している。我々は、これらのキャンペーンを発見した場合に、コミュニティへのアップデート、および、ユーザーを保護するための措置を講じることを引き続き約束する」結論づけている。

昨日 (2023/03/28) の「米大統領令によるスパイウェア制限:政府による使用については曖昧さが残る」という記事には、今日の記事にあるような商用スパイウェア・ベンダーに対する規制を進めようとする動きと、米政府内での利用という現実の、ギャップが描かれていました。その背景には、今日の記事で Google TAG が明らかにしたような、悪質なキャンペーンと商用スパイウェア・ベンダーの関連性があるようです。こうしたキャンペーンで、いつまでも狙われる脆弱性への対応は不可欠ですね。