資安廠商 Avast 日前發表資安通報,指出該公司旗下的資安專家,日前發現一家惡意軟體公司 Candiru,利用 Google Chrome 一個 0-day 漏洞製作惡意軟體「DevilsTongue」,專門用以駭侵中東國家多名媒體記者與重要人士。
被 Candiru 公司用來製作 DevilsTongue 惡意軟體的 Google Chrome 0-day 漏洞,其 CVE 編號為 CVE-2022-2294,屬於 WebRTC 的 heap-base 暫存器溢位漏洞;駭侵者可誘使受害者前往特製的網站,誘發溢位錯誤後即可遠端執行任意程式碼。
該漏洞的 CVSS 漏洞危險程度分數為 8.8 分(滿分為 10 分),危險程度評級則為「高」(high)。
Avast 在報告中指出,雖然 Google 已於今(2022)年 7 月 4 日發布新版 Google Chrome 並修復本漏洞,但 Avast 發現有許多該公司的中東客戶遭到由 Candiru 開發的 DevilsTongue 透過此漏洞發動攻擊,進一步分析後發現攻擊對象有多數都位於黎巴嫩,其中有許多是新聞記者。
Avast 說,除了黎巴嫩外,Candiru 的攻擊對象還分布在土耳其、葉門、巴勒斯坦等地,攻擊對象十分集中,屬於一種水坑式釣魚攻擊。
報告說,駭侵者誘使列為攻擊目標的新聞從業人員進入其特製的惡意網站,導致其感染惡意軟體;接著開始竊取被害者的多種機敏資訊,包括語言、時區、螢幕資訊、裝置類型、瀏覽器外掛程式、推薦來源、裝置記憶體、cookie 功能等等。目前還不清楚駭侵者具體竊走哪些資料,但針對新聞記者的資安攻擊,目的多半是為了收集情報。
建議可能接觸機密情資的個人與單位,均應加強對各式釣魚攻擊的防範能力與意識,包括不任意點按不明連結,不任意開啟不明郵件夾檔,仔細檢視寄件人資訊等等,且應隨時升級至最新版本軟體與韌體,避免駭侵者利用未修補漏洞發動攻擊。
- CVE編號:CVE-2022-2294
- 影響產品(版本):Google Chrome 版本0.5060.114 之前版本。
- 解決方案:升級至 Google Chrome 版本0.5060.114 與後續版本。
