據BleepingComputer 11月30日消息，谷歌的威脅分析小組 (TAG) 發現一家西班牙軟件公司試圖利用 Chrome 、 Firefox 瀏覽器以及 Microsoft Defender 安全應用程序中的漏洞從事間諜活動，目前漏洞已經得到修復。

谷歌TAG表示，這家總部位于巴塞羅那的軟件公司雖然官方宣稱是一家安全解決方案提供商，但其實也從事商業監控活動。

該公司使用Heliconia 框架，利用了 Chrome、Firefox 和 Microsoft Defender 中的 N-day 漏洞，提供了將有效載荷部署到目標設備所需的所有工具。該利用框架由多個組件組成，每個組件都針對目標設備軟件中的特定安全漏洞：

• Heliconia Noise：一個 Web 框架，用于部署 Chrome 渲染器錯誤利用，以及 Chrome 沙箱逃逸以在目標設備上安裝代理
• Heliconia Soft：一個部署包含 Windows Defender 漏洞的 PDF  Web 框架，被跟蹤為 CVE-2021-42298
• Heliconia 文件：一組針對 Linux 和 Windows 的 Firefox 漏洞利用，其中一個被跟蹤為 CVE-2022-26485

對于 Heliconia Noise 和 Heliconia Soft，這些漏洞最終會在受感染的設備上部署名為“agent_simple”的代理。

TAG分析了一個包含虛擬代理的框架樣本，得到的結果是在運行和退出的情況下未執行任何惡意代碼，認為該框架的客戶提供了他們自己的代理，或者是谷歌沒有權限訪問整個框架。

盡管沒有證據表明目標安全漏洞被積極利用，并且谷歌、Mozilla 和微軟在 2021 年和 2022 年初修補了這些漏洞，但TAG 表示這些漏洞很可能在野外被用作零日漏洞。

對間諜軟件供應商的跟蹤

TAG 屬于谷歌旗下的安全專家團隊，專注于保護谷歌用戶免受國家支持的網絡攻擊，但團隊也跟蹤了數十家從事間諜或監視服務的公司。

2022年6 月，TAG 注意到意大利間諜軟件供應商 RCS Labs在一些互聯網服務提供商 (ISP) 的幫助下，在意大利和哈薩克斯坦的 Android 和 iOS 用戶的設備上部署了商業監控工具。期間，目標用戶被提示安裝偽裝成合法移動運營商應用的監控軟件。

最近，TAG 揭露了另一場監視活動，受國家支持的攻擊者利用五個零日漏洞，在目標設備上安裝商業間諜軟件開發商 Cytrox 開發的 Predator 間諜軟件。

TAG表示，間諜軟件行業的發展使用戶處于危險之中，并降低了互聯網的安全性，雖然根據國家或國際法律，監控技術可能是合法的，但它們經常以有害的方式被用來對一系列群體進行數字間諜活動。

參考來源：https://www.bleepingcomputer.com/news/security/google-discovers-windows-exploit-framework-used-to-deploy-spyware/