奇安信威胁情报中心RedDrip团队发布新报告,详细披露了一系列持续多年的零日漏洞利用活动—针对桌面和Android环境实施高度复杂的间谍行动。
报告指出,攻击者的活动“远不止于端点层面”,并强调他们“捕获了多个针对Android邮件客户端的0-day攻击,技术水平已达1-click(一键触发),且攻击者很可能已掌握类似‘Triangulation’的0-click(零交互)能力”。
尽管仅有少数零日漏洞(影响Internet Explorer、Firefox、Foxmail和WPS Office)被用于攻击政府和企业目标
ZipperDown漏洞:全球首次公开的在野利用
报告最引人注目的发现之一是ZipperDown漏洞的首次已知在野利用——该漏洞最初由盘古实验室于2018年发现。“2018年至今,尚无公开报告显示APT组织在野外利用过该漏洞,”RedDrip团队指出,“RedDrip团队是全球首个披露ZipperDown漏洞被APT组织在野利用的安全团队。”
在这类攻击中,攻击者向Android设备发送包含恶意附件的特制邮件。当目标“在手机上点击邮件时,ZipperDown漏洞立即触发,解压精心构造的DAT文件并释放恶意SO和APK文件,覆盖目标应用组件。”
这些载荷常伪装成朝鲜《劳动新闻》的政治新闻,诱使受害者交互。
载荷演变:从图像处理漏洞到内存加载恶意APK
RedDrip分析详细阐述了载荷随时间的变化:
2022–2023年载荷:
攻击者利用Android邮件应用中IMG图像处理的逻辑缺陷部署后门。恶意SO文件是libttmplayer_lite.so 的篡改版本,保留正常功能的同时嵌入下载器逻辑,从命令与控制(C2)服务器获取进一步指令。
2024–2025年载荷:
武器化模块演变为libpanglearmor.so ,可“从远程服务器下载APK木马并加载到内存”。恶意软件通过com.example.backservice.MainActivity 执行后台任务,定期“从‘/command’获取命令并将结果发送至/result”,同时“上报设备连接的WIFI信息”。
命令功能包括:列出文件、执行任意进程、获取已安装应用、建立反向shell及数据窃取。
Android邮件客户端代码注入漏洞:无密码账户接管
2024年,RedDrip在一款流行Android邮件客户端中发现另一个代码注入漏洞。该漏洞仅需点击一次即可触发——打开包含四个特制IMG标签的恶意邮件,标签会将JavaScript插入邮件正文。
攻击者滥用名为localfile的未公开内部API参数,实现任意文件读取(如/data/data/…/databases/路径),窃取账户令牌和配置文件。
RedDrip观察到:“攻击者请求两个文件……解析相关数据后获取目标账户令牌”,随后窃取应用XML配置文件,其中包含“账户配置信息,包括各类密钥”。
这使得攻击者能够无密码接管账户:“最终窃取用户登录状态,无需密码操作账户,访问所有邮件、联系人、文件及其他敏感数据。”
发表评论
您还未登录,请先登录。
登录