网络安全专家警告说,随着国家支持的黑客和网络犯罪分子找到了复杂的攻击方式,零日漏洞(0day)变得越来越常见。Google的研究人员周三表示,他们在2023年观察到97个这样的高危并被利用的漏洞,而2022年只有62个,增加了50%。
在 97 个0day漏洞中,研究人员能够确定其中 58 个漏洞的威胁者动机。其中 48 个漏洞归因于间谍行为,其余 10 个归因于出于经济动机的黑客。
FIN11 利用了三个0day,Nokoyawa、Akira、LockBit和Magniber四个勒索软件团伙分别利用了另外四个0day。报告指出,FIN11 是影响Accellion 传统文件传输设备的2021 0day的幕后黑手,该设备被用于攻击数十家知名机构。
研究人员说:"FIN11 高度关注文件传输应用,这些应用提供了对受害者敏感数据的高效访问,无需横向网络移动,简化了外流和货币化的步骤。随后,大规模勒索或勒索软件活动带来的巨额收入很可能会助长这些组织对新漏洞的额外投资"。
其中值得注意的是,与中国有关联、专注于间谍活动的黑客制造了 12 起0day事件,高于 2022 年的 7 起。
研究人员广泛报道了几起源自中国的活动,包括明确针对梭子鱼(Barracuda)电子邮件安全网关的活动,黑客的目标是东盟成员国外交部的电子邮件域和用户,以及台湾和香港的外贸办事处和学术研究机构的个人。
Google指出,其中一个0day漏洞与Winter Vivern有关,这是一个由白俄罗斯国家赞助的网络组织,曾多次攻击乌克兰和其他欧洲国家。Google说,这是已知的第一个与白俄罗斯有关联的间谍组织在其活动中利用0day漏洞的实例,这表明该组织"日益复杂"。
就目标产品而言,研究人员发现,威胁行为者寻求"产品或组件中的漏洞,这些产品或组件提供了对多个目标的广泛访问"。
研究人员说,梭子鱼电子邮件安全网关、思科自适应安全设备、Ivanti Endpoint Manager Mobile and Sentry和趋势科技 Apex One等企业专用技术多次成为攻击目标,并补充说,这些产品通常提供广泛的访问权限和高级权限。
商业间谍软件供应商的参与
2023 年企业专用技术开发量的增长主要受安全软件和设备开发量的推动。
商业监控供应商(CSV)是浏览器和移动设备漏洞利用的罪魁祸首,在 2023 年针对Google产品和Android生态系统设备的已知0day漏洞中,Google占 75%(17 个漏洞中的 13 个)。
TAG 公司的研究人员 Maddie Stone 说,Google的0day发现最令人震惊的是,大量漏洞被 CSV 在野外利用,而且缺乏针对该行业的全球规范。
她说:"我们已经广泛记录了 CSV 造成的危害,但它们仍占针对最终用户的0day漏洞的大多数。"
这家科技巨头再次警告说,商业监控行业继续向世界各国政府出售尖端技术,这些技术利用消费设备和应用程序中的漏洞,"在个人设备上偷偷安装间谍软件"。私营公司参与发现和销售漏洞已有多年,但我们注意到,在过去几年中,由这些行为者驱动的漏洞利用明显增加。
Google今年 2 月表示,它正在追踪至少 40 家参与制造间谍软件和其他黑客工具的公司,这些间谍软件和黑客工具被出售给政府,并被用来对付"高风险"用户,包括记者、人权活动家和持不同政见者。
浏览器内部攻击
Google还指出,第三方组件和库中的漏洞是"一个主要的攻击面,因为它们往往会影响多个产品"。
2023 年,Google发现这种针对浏览器的攻击有所增加。他们发现有三个浏览器0day漏洞被第三方组件利用,影响了不止一个浏览器。
报告指出,影响 Chrome 浏览器的 CVE-2023-4863 和影响 Safari 浏览器的 CVE-2023-41064"实际上是同一个漏洞",并补充说它还影响了Android和Firefox浏览器。他们还引用了 CVE-2023-5217 - 一个去年出现的影响 libvpx 的头条漏洞。去年还有其他几个浏览器内部工具也被利用。
令人惊讶的是,去年没有发现针对 macOS 的野外0day漏洞。Google解释说,虽然发现的一些 iOS 漏洞由于共享组件也会影响 macOS,但发现的漏洞只针对 iPhone。
"2023年,有8个被利用的0day针对Chrome浏览器,11个针对Safari浏览器。"研究人员说:"跟踪到的 Safari 浏览器0day程序被用于针对 iPhone 的链中,而除了一个 Chrome 浏览器0day程序外,其他所有0day程序都被用于针对 Android 设备链中。"
Google警告说,随着越来越多的黑客投入巨资进行研究,被利用的零漏洞数量很可能会继续增加。
0day漏洞利用"不再仅仅是少数行为者可以利用的利基能力,我们预计,随着供应商继续减少其他入侵途径,以及威胁行为者将越来越多的资源集中在0day漏洞利用上,我们在过去几年中看到的增长可能会继续下去"。
TAG 的斯通告诉 Recorded Future News,报告中最有希望的发现是Google的 MiraclePtr 和苹果的 Lockdown 模式等供应商的缓解措施,这两种措施都成功地阻止了对许多野外使用的漏洞链的利用。
她补充说:"这表明了供应商在安全方面的投资如何能够产生明显的影响,使攻击者更难利用0day利用用户。"