작년에 해결된 많은 제로데이 취약점이 상용 스파이웨어 공급업체에서 안드로이드 및 iOS 기기를 대상으로 악용되었다고 구글 TAG(Threat Analysis Group)가 밝혔다.

더해커뉴스에 따르면, 패치 릴리스 후 대상 장치에 실제로 배포될 때까지의 패치 갭을 활용하는 두 가지 별개의 캠페인은 제한적이고 고도로 표적화되었다. 두 캠페인의 규모와 표적의 특성은 현재 알려지지 않았다고 보도했다. 

TAG 클레멘트 레신은 보고서에서 "이러한 벤더들은 위험한 해킹 도구의 확산을 가능하게 하여 이러한 기능을 사내에서 개발할 수 없는 정부를 무장시키고 있다. 감시 기술의 사용은 국내 또는 국제법에 따라 합법일 수 있지만, 반체제 인사, 언론인, 인권 운동가 및 야당 정치인을 표적으로 삼기 위해 정부에서 종종 사용하는 것으로 밝혀졌다."라고 설명했다.

두 작전 중 첫 번째 작전은 2022년 11월에 이루어졌으며 SMS 메시지를 통해 이탈리아, 말레이시아, 카자흐스탄에 있는 사용자에게 단축 링크를 보내는 작업이 포함되었다.

URL 클릭 시 수신자는 안드로이드 또는 iOS용 익스플로잇을 호스팅하는 웹 페이지로 리디렉션한 후 합법적인 뉴스 또는 배송 추적 웹사이트로 다시 리디렉션된다.

iOS 익스플로잇 체인은 CVE-2022-42856(당시 제로데이), CVE-2021-30900, PAC(포인터 인증 코드) 우회를 포함한 여러 버그를 활용하여 취약한 장치에 .IPA 파일을 설치했다.

안드로이드 익스플로잇 체인은 CVE-2022-3723, CVE-2022-4135(악용 당시 제로데이) 및 CVE-2022-38181의 세 가지 익스플로잇으로 구성되어 지정되지 않은 페이로드를 전달했다.

Mali GPU Kernel Driver에 영향을 미치는 권한 에스컬레이션 버그인 CVE-2022-38181이 2022년 8월 Arm에 의해 패치되었지만 적이 패치 릴리스 전에 이미 결함에 대한 익스플로잇을 소유하고 있었는지 여부는 알려지지 않았다.

또 하나 주목할 점은 링크를 클릭해 삼성 인터넷 브라우저에서 연 안드로이드 사용자가 인텐트 리다이렉션이라는 방법을 사용해 크롬으로 리다이렉트됐다는 점이다.

2022년 12월에 관찰된 두 번째 캠페인은 최신 버전의 삼성 인터넷 브라우저를 대상으로 하는 몇 가지 제로데이 및 n데이로 구성되었으며, 익스플로잇은 SMS를 통해 UAE에 있는 장치에 대한 일회성 링크로 전달되었다.

스페인 스파이웨어 회사인 바리스톤 IT가 사용한 것과 유사한 웹 페이지는 궁극적으로 채팅 및 브라우저 애플리케이션에서 데이터를 수집할 수 있는 C++ 기반 악성 툴킷을 이식했다.

악용된 결함은 CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 및 CVE-2023-26083으로 익스플로잇 체인은 바리스톤 IT의 고객 또는 파트너가 사용한 것으로 추정된다.

국제앰네스티는 공동 보고서에서 2022년 12월 해킹 캠페인이 고도화되고 정교했으며 이 익스플로잇이 "상업적인 사이버 감시 회사에서 개발되어 표적 스파이웨어 공격을 수행하기 위해 정부 해커에게 판매되었다. 새로 발견된 스파이웨어 캠페인은 최소 2020년부터 활동했으며 구글의 안드로이드 운영 체제 사용자를 포함한 모바일 및 데스크톱 장치를 대상으로 했다. 스파이웨어와 제로데이 익스플로잇은 여러 국가에서 미디어 웹사이트를 스푸핑하는 도메인을 포함하여 1,000개 이상의 악성 도메인으로 구성된 광범위한 네트워크에서 전달되었다."라고 설명했다.

이 공개는 미국 정부가 연방 기관이 국가 안보 위험을 나타내는 상업용 스파이웨어를 사용하는 것을 제한하는 행정 명령을 발표한 지 불과 며칠 만에 나왔다.

★정보보안 대표 미디어 데일리시큐!