Google の脅威分析グループによる新しいレポートでは、Chrome ブラウザと Android オペレーティング システムを標的とした 5 つの異なるゼロデイ脆弱性が悪用されていることが明らかにされています。
背景
Google は、これらのエクスプロイトが Cytrox という単一の商用監視会社によってパッケージ化されたと高い確信を持って評価しています。
Cytroxは、イスラエルとハンガリーに拠点を置く北マケドニアの企業で、2021年末に「Predator」と呼ばれるスパイウェアの開発・保守を行っている企業として摘発されました。Metaも、この企業を含む、監視サービスを提供する6社を摘発し、サービスの利用を禁止するとともに、標的の疑いのある企業にセキュリティ侵害の可能性について警告する措置を講じました。Metaは、Cytroxに関連するFacebookとInstagramのアカウント300件を削除しました。
Googleの新たな調査によると、Cytroxはこれらの新しいエクスプロイトを政府支援を受けた攻撃者に販売し、彼らはそれを3つの異なる攻撃キャンペーンで使用したとのことです。Cytroxのサービスを購入した攻撃者は、エジプト、アルメニア、ギリシャ、マダガスカル、コートジボワール、セルビア、スペイン、インドネシアに拠点を置いています。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
エクスプロイトをパッケージ化した3つの進行中のキャンペーン
GoogleのTAGチームが明らかにした3つのキャンペーンはいずれも、URL短縮サービスを模倣したリアルタイムリンクを配信することから始まります。これらのリンクは、標的のAndroidユーザーにメールで送信されます。リンクをクリックすると、何も知らないユーザーは攻撃者が所有するドメインに誘導され、エクスプロイトが配信された後、正規のウェブサイトが表示されます。
最終的なペイロードは ALIEN と呼ばれ、Cytrox が好んで使用するマルウェアである PREDATOR をロードして実行するために使用される単純な Android マルウェアです。
ターゲティングに関しては、3 つのキャンペーンはすべて低く、各キャンペーンが数十人のユーザーのみをターゲットにしていたことを意味します。
最初のキャンペーン: CVE-2021-38000を悪用
2021年8月に発見されたこのキャンペーンは、Samsung Galaxyスマートフォン上のChromeを標的としていました。攻撃者が送信したリンクをChromeで開くと、論理的な欠陥が悪用され、Chromeは古い脆弱なバージョンのChromiumを実行しているSamsungブラウザで別のURLを読み込むよう強制されました。
この脆弱性が悪用されたのは、攻撃者がそのスマートフォンのChromeバージョン(91.0.4472)用のエクスプロイトを持っていなかったためと考えられます。Googleによると、この脆弱性はエクスプロイトブローカーによって販売され、複数の監視ソフトウェアベンダーによって悪用された可能性があります。
2番目のキャンペーン: Chromeサンドボックス
最初のキャンペーンと同様に、この2番目のキャンペーンもSamsung Galaxyを標的としました。このスマートフォンは最新のChromeバージョンで動作していました。エクスプロイトの分析により、CVE-2021-37973とCVE-2021-37976という2つの異なるChromeの脆弱性が確認されました。
サンドボックスからの脱出に成功した後、エクスプロイトは別のエクスプロイトをダウンロードし、ユーザーの権限を昇格させてインプラントをインストールしました。エクスプロイトのコピーは入手できませんでした。
3番目のキャンペーン: Androidの完全なゼロデイエクスプロイト
2021 年 10 月に検出されたこのキャンペーンでは、最新バージョンの Chrome を再び実行している最新の Samsung スマートフォンから完全なチェーン エクスプロイトがトリガーされました。
攻撃者が最終的なペイロードをインストールできるようにするために、2 つのゼロデイ エクスプロイト (CVE-2021-38003 と CVE-2021-1048) が使用されました。
パッチ適用問題が発生
CVE-2021-1048は、攻撃者がChromeサンドボックスを回避し、特権プロセスにコードを挿入することでシステムを侵害することを可能にする脆弱性で、Googleが発見した攻撃キャンペーンの約1年前の2020年9月にLinuxカーネルで修正されました。
この脆弱性に対するコミットはセキュリティ問題としてフラグ付けされなかったため、パッチはほとんどのAndroidカーネルにバックポートされませんでした。修正から1年後、すべてのSamsungカーネルが脆弱となり、Androidシステムを搭載した他の多くのスマートフォンブランドも影響を受けた可能性があります。Pixelスマートフォンで実行されているLTSカーネルは十分に新しいものであり、この脆弱性に対する修正が含まれていました。
Google は、このようなインシデントが発生したのは初めてではないことを強調し、別の例として 2019 年の Bad Binder 脆弱性を挙げています。
一部のパッチをバックポートする際のこの問題は、修正が遅い脆弱性を積極的に探している攻撃者にとって利益になります。
野生のサイトロックス以上
Google は、現在、政府支援の攻撃者にエクスプロイトや監視機能を販売している、洗練度や公開度のレベルが異なる 30 社以上のベンダーを追跡しており、それらのキャンペーンを発見次第、コミュニティに最新情報を提供し続けると述べています。
こうした商業組織は一般に、複雑な所有構造、急速なブランド変更、金融分野のパートナーとの提携などを持ち、調査が困難になっていますが、それでも企業ネットワーク内でスパイウェアを検出することは可能です。
この脅威から身を守るにはどうすればよいでしょうか?
スマートフォンはコンピューターに比べてセキュリティが不十分なことが多いため、Android スマートフォンの脅威はラップトップよりも検出が困難です。
まず、オペレーティング システムとすべてのアプリケーションは常に最新の状態に保たれ、パッチが適用されている必要があります。
スマートフォンにはセキュリティツールを導入し、信頼できないソースから提供されるサードパーティ製アプリケーションのインストールを禁止するだけでなく、デバイスへの不要なアプリケーションのインストールも禁止する必要があります。
すべてのアプリケーションの権限は、特に新しいアプリケーションをインストールする際には、注意深く確認する必要があります。SMSの操作や音声録音の権限を要求するアプリケーションをインストールする際は、特に注意が必要です。これはスパイウェアの兆候である可能性があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
