谷歌发现用于部署间谍软件的 Windows 漏洞利用框架

据BleepingComputer 11月30日消息，谷歌谷歌的发现威胁分析小组 (TAG) 发现一家西班牙软件公司试图利用 Chrome 、 Firefox 浏览器以及 Microsoft Defender 安全应用程序中的用于漏洞从事间谍活动，目前漏洞已经得到修复
。部署

谷歌TAG表示 ，间谍这家总部位于巴塞罗那的软件软件公司虽然官方宣称是一家安全解决方案提供商 ，但其实也从事商业监控活动 。漏洞利用

该公司使用Heliconia 框架，框架利用了 Chrome
 、谷歌Firefox 和 Microsoft Defender 中的免费模板发现 N-day 漏洞
，提供了将有效载荷部署到目标设备所需的用于所有工具。该利用框架由多个组件组成，部署每个组件都针对目标设备软件中的间谍特定安全漏洞：

Heliconia Noise
：一个 Web 框架
，用于部署 Chrome 渲染器错误利用 ，软件以及 Chrome 沙箱逃逸以在目标设备上安装代理Heliconia Soft ：一个部署包含 Windows Defender 漏洞的漏洞利用 PDF  Web 框架 ，被跟踪为 CVE-2021-42298Heliconia 文件 ：一组针对 Linux 和 Windows 的 Firefox 漏洞利用 ，其中一个被跟踪为 CVE-2022-26485

对于 Heliconia Noise 和 Heliconia Soft，这些漏洞最终会在受感染的香港云服务器设备上部署名为“agent_simple”的代理 。

TAG分析了一个包含虚拟代理的框架样本，得到的结果是在运行和退出的情况下未执行任何恶意代码 ，认为该框架的客户提供了他们自己的代理，或者是谷歌没有权限访问整个框架 。亿华云

尽管没有证据表明目标安全漏洞被积极利用 ，并且谷歌、Mozilla 和微软在 2021 年和 2022 年初修补了这些漏洞，但TAG 表示这些漏洞很可能在野外被用作零日漏洞 。

对间谍软件供应商的跟踪

TAG 属于谷歌旗下的安全专家团队，专注于保护谷歌用户免受国家支持的网络攻击，但团队也跟踪了数十家从事间谍或监视服务的公司。

2022年6 月，TAG 注意到意大利间谍软件供应商 RCS Labs在一些互联网服务提供商 (ISP) 的云计算帮助下 
，在意大利和哈萨克斯坦的 Android 和 iOS 用户的设备上部署了商业监控工具。期间，目标用户被提示安装伪装成合法移动运营商应用的监控软件
。

最近，TAG 揭露了另一场监视活动，受国家支持的攻击者利用五个零日漏洞 ，在目标设备上安装商业间谍软件开发商 Cytrox 开发的 Predator 间谍软件。服务器租用

TAG表示，间谍软件行业的发展使用户处于危险之中，并降低了互联网的安全性，虽然根据国家或国际法律 ，监控技术可能是合法的，但它们经常以有害的方式被用来对一系列群体进行数字间谍活动。

参考来源：https://www.bleepingcomputer.com/news/security/google-discovers-windows-exploit-framework-used-to-deploy-spyware/