在間諜軟件供應商的推動下 2023年被惡意利用的0day漏洞猛增50%

網絡安全專傢警告說，隨著國傢支持的黑客和網絡犯罪分子找到復雜的攻擊方式，零日漏洞（0day）變得越來越常見。Google的研究人員周三表示，他們在2023年觀察到97個這樣的高危並被利用的漏洞，而2022年隻有62個，增加50%。

在 97 個0day漏洞中，研究人員能夠確定其中 58 個漏洞的威脅者動機。其中 48 個漏洞歸因於間諜行為，其餘 10 個歸因於出於經濟動機的黑客。

FIN11 利用三個0day，Nokoyawa、Akira、LockBit和Magniber四個勒索軟件團夥分別利用另外四個0day。報告指出，FIN11 是影響Accellion 傳統文件傳輸設備的2021 0day的幕後黑手，該設備被用於攻擊數十傢知名機構。

研究人員說："FIN11 高度關註文件傳輸應用，這些應用提供對受害者敏感數據的高效訪問，無需橫向網絡移動，簡化外流和貨幣化的步驟。隨後，大規模勒索或勒索軟件活動帶來的巨額收入很可能會助長這些組織對新漏洞的額外投資"。

其中值得註意的是，與中國有關聯、專註於間諜活動的黑客制造 12 起0day事件，高於 2022 年的 7 起。

研究人員廣泛報道幾起源自中國的活動，包括明確針對梭子魚（Barracuda）電子郵件安全網關的活動，黑客的目標是東盟成員國外交部的電子郵件域和用戶，以及臺灣和香港的外貿辦事處和學術研究機構的個人。

Google指出，其中一個0day漏洞與Winter Vivern有關，這是一個由白俄羅斯國傢贊助的網絡組織，曾多次攻擊烏克蘭和其他歐洲國傢。Google說，這是已知的第一個與白俄羅斯有關聯的間諜組織在其活動中利用0day漏洞的實例，這表明該組織"日益復雜"。

就目標產品而言，研究人員發現，威脅行為者尋求"產品或組件中的漏洞，這些產品或組件提供對多個目標的廣泛訪問"。

研究人員說，梭子魚電子郵件安全網關、思科自適應安全設備、Ivanti Endpoint Manager Mobile and Sentry和趨勢科技 Apex One等企業專用技術多次成為攻擊目標，並補充說，這些產品通常提供廣泛的訪問權限和高級權限。

商業間諜軟件供應商的參與

2023 年企業專用技術開發量的增長主要受安全軟件和設備開發量的推動。

商業監控供應商（CSV）是瀏覽器和移動設備漏洞利用的罪魁禍首，在 2023 年針對Google產品和Android生態系統設備的已知0day漏洞中，Google占 75%（17 個漏洞中的 13 個）。

TAG 公司的研究人員 Maddie Stone 說，Google的0day發現最令人震驚的是，大量漏洞被 CSV 在野外利用，而且缺乏針對該行業的全球規范。

她說："我們已經廣泛記錄 CSV 造成的危害，但它們仍占針對最終用戶的0day漏洞的大多數。"

這傢科技巨頭再次警告說，商業監控行業繼續向世界各國政府出售尖端技術，這些技術利用消費設備和應用程序中的漏洞，"在個人設備上偷偷安裝間諜軟件"。私營公司參與發現和銷售漏洞已有多年，但我們註意到，在過去幾年中，由這些行為者驅動的漏洞利用明顯增加。

Google今年 2 月表示，它正在追蹤至少 40 傢參與制造間諜軟件和其他黑客工具的公司，這些間諜軟件和黑客工具被出售給政府，並被用來對付"高風險"用戶，包括記者、人權活動傢和持不同政見者。

瀏覽器內部攻擊

Google還指出，第三方組件和庫中的漏洞是"一個主要的攻擊面，因為它們往往會影響多個產品"。

2023 年，Google發現這種針對瀏覽器的攻擊有所增加。他們發現有三個瀏覽器0day漏洞被第三方組件利用，影響不止一個瀏覽器。

報告指出，影響 Chrome 瀏覽器的 CVE-2023-4863 和影響 Safari 瀏覽器的 CVE-2023-41064"實際上是同一個漏洞"，並補充說它還影響Android和Firefox瀏覽器。他們還引用 CVE-2023-5217 - 一個去年出現的影響 libvpx 的頭條漏洞。去年還有其他幾個瀏覽器內部工具也被利用。

令人驚訝的是，去年沒有發現針對 macOS 的野外0day漏洞。Google解釋說，雖然發現的一些 iOS 漏洞由於共享組件也會影響 macOS，但發現的漏洞隻針對 iPhone。

"2023年，有8個被利用的0day針對Chrome瀏覽器，11個針對Safari瀏覽器。"研究人員說："跟蹤到的 Safari 瀏覽器0day程序被用於針對 iPhone 的鏈中，而除一個 Chrome 瀏覽器0day程序外，其他所有0day程序都被用於針對 Android 設備鏈中。"

Google警告說，隨著越來越多的黑客投入巨資進行研究，被利用的零漏洞數量很可能會繼續增加。

0day漏洞利用"不再僅僅是少數行為者可以利用的利基能力，我們預計，隨著供應商繼續減少其他入侵途徑，以及威脅行為者將越來越多的資源集中在0day漏洞利用上，我們在過去幾年中看到的增長可能會繼續下去"。

TAG 的斯通告訴 Recorded Future News，報告中最有希望的發現是Google的 MiraclePtr 和蘋果的 Lockdown 模式等供應商的緩解措施，這兩種措施都成功地阻止對許多野外使用的漏洞鏈的利用。

她補充說："這表明供應商在安全方面的投資如何能夠產生明顯的影響，使攻擊者更難利用0day利用用戶。"