Google разкрива Heliconia Exploit framework за насочване към Chrome, Firefox и Windows

Групата за анализ на заплахите на Google публикува подробности за три новооткрити експлойт рамки, които потенциално могат да бъдат използвани за използване на уязвимостите на Chrome, Firefox и Microsoft Defender в рамките на няколко дни през последните няколко години.

Екипът на TAG разбра за рамките, когато някой изпрати три отделни грешки в системата за докладване на грешки в Chrome на Google. Всеки от трите грешки включва пълна рамка за използване на конкретни грешки, както и изходен код. Рамките са известни като Heliconia Noise, Heliconia Soft и Files. Heliconia Noise е рамка, която включва пълна верига експлойт с едно щракване за грешка в рендеринга в Chrome, която присъстваше в браузъра от компилация 90.0.4430.72 до 91.0.4472.106 и коригирана през август 2021 г. Heliconia Soft експлоатира грешка в Windows Defender, и файловете са колекция от експлойти за браузъра Firefox както на Windows, така и на Linux.

Докато копаеха в уязвимости и рамки, изследователите на Google откриха скрипт, който беше използван за премахване на всяка чувствителна информация, като имена на сървъри и псевдоними на разработчици, и също така съдържаше препратка към Variston, компания за сигурност в Испания. Изследователите на TAG вярват, че Variston може да е разработил рамки за експлоатация.

“Тяхната рамка Heliconia експлоатира уязвимости в Chrome, Firefox и Microsoft Defender и предоставя всички инструменти, необходими за разгръщане на полезен товар към целево устройство. Подробности за грешките и рамките”, казаха изследователите на TAG в публикация.

Проучванията на Google показват, че рамките са сложни, зрели и способни да експлоатират целевите устройства с лекота. Рамката Heliconia Noise, насочена към Chrome, съдържа няколко компонента, както и препратка към отделен експлойт в пясъчника. Първият етап от веригата е да се използва експлойт за отдалечено изпълнение на код, последвано от избягване на пясъчника и накрая инсталиране на прокси на компрометираното устройство.

Рамката изпълнява уеб сървър на Flask, за да хоства веригата за експлоатация. Пълното заразяване води до заявки до шест различни крайни точки в мрежата по време на различните етапи от веригата за експлойт. Изследователите на Google казаха, че имената на файловете за всяка крайна точка са произволни по време на внедряването на сървъра, с изключение на първата крайна точка, която се дава от URL адрес, посочен в конфигурационния файл.

Рамката позволява задаване на параметри за валидиране на посетителите на уеб сървъра. Клиентите могат да конфигурират целеви валидации въз основа на потребителския агент, държавата на клиента, IP адреса на клиента и идентификатора на клиента, използвани за проследяване на отделни посетители. Ако някоя от проверките е неуспешна, потребителят се пренасочва към предварително конфигурирания URL адрес за пренасочване.

Heliconia Soft, която е насочена към инструмента за защита на Windows Defender, съдържа уязвимост за CVE-2021-42298, недостатък, който Microsoft коригира през 2021 г. Рамката използва уязвимост, която дава на атакуващия привилегии за цялата система и включва само изтегляне на PDF файл. Когато жертвата изтегли PDF файла, тя стартира сканиране от Windows Defender.

На първия етап се обслужва PDF файл, когато потребителят посети URL адреса на атаката. PDF файлът съдържа известно измамно съдържание, както и JavaScript, който съдържа уязвимостта. Подобно на Heliconia Noise, той използва JavaScript obfuscator minobf. Кодът на рамката извършва проверки на уверете се, че често срещаните експлойт низове („spray“, „leak“, „header“ и т.н.) не съществуват в обфусцирания JavaScript. Рамката вмъква PE зареждащия шелкод и Launcher DLL като низове в JavaScript експлойта“, казва анализът на Google.

„Растежът на шпионската индустрия излага потребителите на риск и прави интернет по-малко сигурен.“

Последната открита рамка на TAG се нарича Simple Files и съдържа експлойт за файла Грешка във Firefox, която беше коригирана от Mozilla по-рано тази година. Уязвимостта (CVE-2022-26485) беше експлоатирана в природата, преди да бъде разкрита през март, и изследователите на Google смятат, че актьорите може да са използвали уязвимостта в рамката на Heliconia Files от няколко години.

TAG оценява, че пакетът Heliconia Files вероятно е използвал тази RCE уязвимост поне от 2019 г., много преди бъгът да бъде публикуван и коригиран. TAG каза, че експлойтът на Heliconia е ефективен срещу версии на Firefox от 64 до 68, което показва, че може да се използва от Декември 2018 г., когато версия 64 беше пусната за първи път.

Освен това, когато Mozilla коригира уязвимостта, кодът на експлойта в техния доклад за грешка споделя поразителни прилики с експлойта на Heliconia, включително същите имена на променливи и флагове. Тези припокривания показват, че авторът на експлойта е един и същ и в двата експлойта на Heliconia. И пример експлоатационен код, споделен от Mozilla при отстраняване на грешки.“

Има също експлойт за избягване на пясъчника за Windows версията на Firefox. Изследователите на TAG от Google посочиха Heliconia като пример за разпространението на търговските инструменти за наблюдение и колко опасни могат да бъдат те за много групи от потенциални цели.

„Растежът на шпионската индустрия застрашава потребителите и прави интернет по-малко сигурен и докато технологията за наблюдение може да е законна съгласно националните или международните закони, тя често се използва по злонамерени начини за извършване на дигитален шпионаж срещу редица групи“, изследователите казах.