Google：Cytrox開採5個零時差漏洞以植入Predator間諜程式

Google安全分析小組（Threat Analysis Group，TAG）本周公布了5個遭到以色列資安業者Cytrox開採的安全漏洞，用以植入Predator間諜程式，並藉此展開3波的攻擊行動。

TAG隸屬於Google Zero專案（Project Zero），負責追蹤涉及不實資訊活動、政府支撐的駭客行動，以及基於財務動機的威脅組織，在2021年時總計發現了9個零時差漏洞，去年公布了其中4個的細節，本周再接再厲公布了另外5個，而它們全都遭到Cytrox利用。

Cytrox所開發的5個零時差漏洞分別是位於Chrome瀏覽器中的CVE-2021-37973、CVE-2021-37976、CVE-2021-38000與CVE-2021-38003，以及出現在Android的CVE-2021-1048，Cytrox創造了開採上述漏洞的攻擊程式，並鎖定Android用戶展開攻擊以植入Predator間諜程式。

根據CitizenLab的評估，向Cytrox購買相關攻擊程式的國家包括埃及、亞美尼亞、希臘、馬達加斯加、象牙海岸、塞爾維亞、西班牙與印尼等。且為了讓Predator進駐受害者手機，除了利用零時差漏洞之外，Cytrox也藉由修補空窗期，輔以已知漏洞的攻擊程式來提高成功率，讓更多缺乏先進技術的各國政府得以擴大其監控能力。

值得注意的是，在TAG去年發現的9個零時差漏洞中，就有7個是由Cytrox這類所謂的資安傭兵所開採，而且光是TAG目前正在追蹤的資安傭兵就超過30家。

其中，第一次攻擊發生在去年8月，只利用了CVE-2021-38000漏洞，隔月的攻擊串連了CVE-2021-37973與CVE-2021-37976漏洞，第三次攻擊出現在10月，串連CVE-2021-38003及CVE-2021-1048漏洞。

在利用這5個零時差漏洞所發動的3次攻擊中，其手法是雷同的，都是透過電子郵件遞送模仿短網址的一次性連結予Android用戶，且3次攻擊所針對的目標用戶都只有數十位，一旦使用者點選了連結，在連至合法網站之前，就會先被導至駭客所擁有的網域以植入開採程式。

這3次的攻擊行動都是先遞送Android惡意程式Alien，再由Alien載入間諜程式Predator，後者可用來錄製裝置上的聲音、添加CA憑證及藏匿程式等。