- Heliconia 框架利用 Chrome、Firefox 和 Microsoft Defender 中的 n-day 漏洞,并提供部署有效负载所需的所有工具
- 当谷歌收到匿名提交给 Chrome 错误报告程序时,TAG 意识到了 Heliconia 框架。
- TAG 分析了提交的内容,发现它们包含用于在野外部署漏洞利用的框架。
一直在跟踪商业间谍软件供应商活动的谷歌威胁分析小组分享了其对一个可能与西班牙巴塞罗那 Variston IT 公司有关的开发框架的调查结果。该公司声称为其客户提供定制的安全解决方案。谷歌表示,Variston IT 的 Heliconia 框架利用了 Chrome、Firefox 和 Microsoft Defender 中的 n-day 漏洞。该公司还提供必要的工具,允许用户将有效载荷部署到目标设备。
间谍软件供应商
受影响的漏洞已在 2021 年和 2022 年初由谷歌、微软和 Mozilla 修复。谷歌没有检测到积极的利用,但似乎这些在野外被用作零日漏洞。谷歌团队还在安全浏览中创建了检测功能,通过在访问危险站点或下载危险文件时向用户发出警告来帮助他们。
威胁分析小组在收到对其错误报告程序的匿名提交后注意到了该框架。提交者提供了说明和包含三个错误的源代码的存档。提交者在错误报告中使用了独特的名称,包括“Heliconia Noise”、“Heliconia Soft”和“Files”。分析表明,它包含用于在野外部署漏洞利用的框架以及源代码中的脚本,该脚本指向框架的可能创建者 Variston IT。
- Heliconia Noise: 一个 Web 框架,用于部署针对 Chrome 渲染器错误的漏洞利用,然后进行沙箱逃逸
- Heliconia Soft: 部署包含 Windows Defender 漏洞的 PDF 的 Web 框架
- 文件:一组适用于Linux和 Windows 的 Firefox 漏洞。
Heliconia Noise 是一个部署 Chrome 渲染器漏洞利用的 Web 框架,随后是 Chrome 沙箱逃逸和代理安装。该框架运行一个 Flask Web 服务器来托管漏洞利用链。完整感染在利用链的不同阶段向六个不同的 Web 端点执行请求:
第 1 阶段:远程代码执行 (RCE)
- index.py:登陆页面
- iframe.py:运行 RCE 漏洞的 iframe
- wasm.py:一个虚拟的 WebAssembly (Wasm) 模块
第二阶段:沙盒逃脱
- sbx.py:沙箱逃逸 shellcode
第 3 阶段:后期开发
- launcher.py:代理启动器
- agent.py:代理
谷歌说,
« TAG 的研究表明商业监视的扩散以及商业间谍软件供应商开发的能力的程度,这些能力以前只有财力雄厚和技术专长的政府才能使用。间谍软件行业的发展使用户处于危险之中,并降低了互联网的安全性,虽然根据国家或国际法律,监视技术可能是合法的,但它们经常以有害的方式用于对一系列群体进行数字间谍活动。这些滥用行为对在线安全构成严重威胁,这就是为什么 Google 和 TAG 将继续对商业间谍软件行业采取行动并发布相关研究的原因。»
