在間諜軟體供應商的推動下2023年被惡意利用的0day漏洞激增50%
網路安全專家警告說,隨著國家支持的駭客和網路犯罪分子找到了複雜的攻擊方式,零日漏洞(0day)變得越來越常見。 Google的研究人員週三表示,他們在2023年觀察到97個這樣的高風險並被利用的漏洞,而2022年只有62個,增加了50%。
在97 個0day漏洞中,研究人員得以確定其中58 個漏洞的威脅者動機。其中48 個漏洞歸因於間諜行為,其餘10 個歸因於出於經濟動機的駭客。
FIN11 利用了三個0day,Nokoyawa、Akira、LockBit和Magniber四個勒索軟體團夥分別利用了另外四個0day。報告指出,FIN11 是影響Accellion 傳統文件傳輸設備的2021 0day的幕後黑手,該設備被用於攻擊數十家知名機構。
研究人員說:”FIN11 高度關注文件傳輸應用,這些應用提供了對受害者敏感數據的高效訪問,無需橫向網絡移動,簡化了外流和貨幣化的步驟。隨後,大規模勒索或勒索軟體活動帶來的巨額收入很可能會助長這些組織對新漏洞的額外投資”。
其中值得注意的是,與中國有關、專注於間諜活動的駭客製造了12 起0day事件,高於2022 年的7 起。
研究人員廣泛報導了幾起源自中國的活動,包括明確針對梭子魚(Barracuda)電子郵件安全網關的活動,駭客的目標是東協成員國外交部的電子郵件域和用戶,以及台灣和香港的外貿辦事處和學術研究機構的個人。
Google指出,其中一個0day漏洞與Winter Vivern有關,這是一個由白俄羅斯國家贊助的網路組織,曾多次攻擊烏克蘭和其他歐洲國家。 Google說,這是已知的第一個與白俄羅斯有關聯的間諜組織在其活動中利用0day漏洞的實例,這表明該組織”日益複雜”。
就目標產品而言,研究人員發現,威脅行為者尋求”產品或組件中的漏洞,這些產品或組件提供了對多個目標的廣泛訪問”。
研究人員說,梭子魚電子郵件安全閘道、思科自適應安全設備、Ivanti Endpoint Manager Mobile and Sentry和趨勢科技Apex One等企業專用技術多次成為攻擊目標,並補充說,這些產品通常提供廣泛的存取權限和高級權限。
商業間諜軟體供應商的參與
2023 年企業專用技術開發量的成長主要受安全軟體和設備開發量的推動。
商業監控供應商(CSV)是瀏覽器和行動裝置漏洞利用的罪魁禍首,在2023 年針對Google產品和Android生態系統設備的已知0day漏洞中,Google佔75%(17 個漏洞中的13 個) 。
TAG 公司的研究人員Maddie Stone 說,Google的0day發現最令人震驚的是,大量漏洞被CSV 在野外利用,而且缺乏針對該行業的全球規範。
她說:”我們已經廣泛記錄了CSV 造成的危害,但它們仍佔針對最終用戶的0day漏洞的大多數。”
這家科技巨頭再次警告說,商業監控行業繼續向世界各國政府出售尖端技術,這些技術利用消費設備和應用程式中的漏洞,”在個人設備上偷偷安裝間諜軟體」。私人公司參與發現和銷售漏洞已有多年,但我們注意到,在過去幾年中,由這些行為者驅動的漏洞利用明顯增加。
Google今年2 月表示,它正在追蹤至少40 家參與製造間諜軟體和其他駭客工具的公司,這些間諜軟體和駭客工具被出售給政府,並被用來對付”高風險”用戶,包括記者、人權活動家和持不同政見者。
瀏覽器內部攻擊
Google也指出,第三方元件和函式庫中的漏洞是”一個主要的攻擊面,因為它們往往會影響多個產品”。
2023 年,Google發現這種針對瀏覽器的攻擊增加。他們發現有三個瀏覽器0day漏洞被第三方元件利用,影響了不只一個瀏覽器。
報告指出,影響Chrome 瀏覽器的CVE-2023-4863 和影響Safari 瀏覽器的CVE-2023-41064″實際上是同一個漏洞”,並補充說它還影響了Android和Firefox瀏覽器。他們還引用了CVE-2023-5217 – 一個去年出現的影響libvpx 的頭條漏洞。去年還有其他幾個瀏覽器內部工具也被利用。
令人驚訝的是,去年沒有發現針對macOS 的野外0day漏洞。 Google解釋說,雖然發現的一些iOS 漏洞由於共享元件也會影響macOS,但發現的漏洞只針對iPhone。
“2023年,有8個被利用的0day針對Chrome瀏覽器,11個針對Safari瀏覽器。”研究人員說:”追蹤到的Safari 瀏覽器0day程式被用於針對iPhone 的鏈中,而除了一個Chrome瀏覽器0day程式外,其他所有0day程式都被用於針對Android 裝置鏈中。”
Google警告說,隨著越來越多的駭客投入巨資進行研究,被利用的零漏洞數量很可能會繼續增加。
0day漏洞利用”不再只是少數行為者可以利用的利基能力,我們預計,隨著供應商繼續減少其他入侵途徑,以及威脅行為者將越來越多的資源集中在0day漏洞利用上,我們在過去幾年中看到的增長可能會繼續下去”。
TAG 的斯通告訴Recorded Future News,報告中最有希望的發現是Google的MiraclePtr 和蘋果的Lockdown 模式等供應商的緩解措施,這兩種措施都成功地阻止了對許多野外使用的漏洞鏈的利用。
她補充說:”這顯示了供應商在安全方面的投資如何能夠產生明顯的影響,使攻擊者更難利用0day利用用戶。”