Die aktiv ausgenutzte, aber inzwischen behobene Zero-Day-Schwachstelle in Google Chrome, die Anfang des Monats bekannt wurde, wurde von einem israelischen Spionageprogrammunternehmen für Angriffe auf Journalisten im Nahen Osten genutzt.
Das tschechische Cybersicherheitsunternehmen Avast brachte die Ausnutzung der Schwachstelle mit Candiru (auch bekannt als Saito Tech) in Verbindung, das in der Vergangenheit bereits unbekannte Schwachstellen ausgenutzt hat, um eine Windows-Malware namens DevilsTongue einzusetzen, ein modulares Implantat mit Pegasus-ähnlichen Fähigkeiten.
Candiru hat zusammen mit der NSO Group, Computer Security Initiative Consultancy PTE. LTD. und Positive Technologies wurde Candiru im November 2021 vom US-Handelsministerium wegen „bösartiger Cyber-Aktivitäten“ auf die Liste der Unternehmen gesetzt.
„Ein großer Teil der Angriffe fand im Libanon statt, wo auch Journalisten zu den Zielpersonen gehörten“, so der Sicherheitsforscher Jan Vojtěšek, der die Entdeckung der Schwachstelle gemeldet hat, in einem Bericht. „Wir glauben, dass die Angriffe sehr gezielt waren.“
Bei der Sicherheitslücke handelt es sich um CVE-2022-2294, eine Speicherbeschädigung in der WebRTC-Komponente des Google Chrome-Browsers, die zur Ausführung von Shellcode führen kann. Sie wurde von Google am 4. Juli 2022 behoben. Das gleiche Problem wurde inzwischen von Apple und Microsoft in den Browsern Safari und Edge behoben.
Die Ergebnisse werfen ein Licht auf mehrere Angriffskampagnen des israelischen Hackers, der im März 2022 mit einem überarbeiteten Toolset zurückkehrte, um Nutzer/innen im Libanon, in der Türkei, im Jemen und in Palästina über Watering-Hole-Angriffe mit Zero-Day-Exploits für Google Chrome anzugreifen.
Die Infektionssequenz, die im Libanon entdeckt wurde, begann damit, dass die Angreifer eine Website kompromittierten, die von Mitarbeitern einer Nachrichtenagentur genutzt wurde, um bösartigen JavaScript-Code von einer von einem Akteur kontrollierten Domain einzuschleusen, der potenzielle Opfer auf einen Exploit-Server umleitet.
Mit dieser Watering-Hole-Technik wird ein Profil des Browsers des Opfers erstellt, das aus etwa 50 Datenpunkten besteht, darunter Details wie Sprache, Zeitzone, Bildschirminformationen, Gerätetyp, Browser-Plugins, Referrer und Gerätespeicher.
Avast hat festgestellt, dass die Informationen gesammelt wurden, um sicherzustellen, dass der Exploit nur an die beabsichtigten Ziele übermittelt wird. Wenn die Hacker die gesammelten Daten für wertvoll erachten, wird der Zero-Day-Exploit über einen verschlüsselten Kanal auf den Rechner des Opfers übertragen.
Der Exploit wiederum missbraucht den Heap-Pufferüberlauf in WebRTC, um die Ausführung von Shellcode zu ermöglichen. Es wird vermutet, dass der Zero-Day-Exploit mit einem Sandbox-Escape-Exploit (der nie wiedergefunden wurde) gekoppelt wurde, um einen ersten Fuß in die Tür zu bekommen und damit die DevilsTongue-Nutzdaten zu übertragen.
Die ausgeklügelte Malware ist in der Lage, die Webcam und das Mikrofon des Opfers aufzuzeichnen, Keylogging zu betreiben, Nachrichten, den Browserverlauf, Passwörter, Standorte und vieles mehr auszuspionieren. Es wurde auch beobachtet, wie sie versuchte, ihre Privilegien zu erweitern, indem sie einen anfälligen signierten Kernel-Treiber („HW.sys“) installierte, der eine dritte Zero-Day-Schwachstelle enthielt.
Anfang Januar dieses Jahres hat ESET erklärt, wie anfällige signierte Kernel-Treiber – ein Ansatz, der als Bring Your Own Vulnerable Driver (BYOVD) bezeichnet wird – zu unbewachten Einfallstoren für böswillige Akteure werden können, um sich Zugang zu Windows-Rechnern zu verschaffen.
Die Enthüllung kommt eine Woche, nachdem Proofpoint aufgedeckt hat, dass Hackergruppen, die mit China, dem Iran, Nordkorea und der Türkei verbündet sind, seit Anfang 2021 Journalisten angreifen, um Spionage zu betreiben und Malware zu verbreiten.