Cybersecurity and Infrastructure Security Agency (CISA) telah memerintahkan agen federal hari ini untuk menambal kerentanan keamanan yang dieksploitasi sebagai zero-days dalam serangan baru-baru ini untuk memasang spyware komersial di perangkat seluler.
Cacat yang dipermasalahkan disalahgunakan sebagai bagian dari beberapa rantai eksploitasi dalam dua kampanye terpisah yang sangat bertarget menargetkan pengguna Android dan iOSseperti yang diungkapkan oleh Grup Analisis Ancaman (TAG) Google baru-baru ini.
Dalam rangkaian serangan pertama yang terlihat pada November 2022, pelaku ancaman menggunakan rantai eksploitasi terpisah untuk mengkompromikan perangkat iOS dan Android.
Satu bulan kemudian, rantai kompleks beberapa 0-hari dan n-hari dieksploitasi untuk menargetkan ponsel Android Samsung yang menjalankan versi Browser Internet Samsung terbaru.
Muatan akhir adalah paket spyware untuk Android yang mampu mendekripsi dan mengekstraksi data dari berbagai aplikasi obrolan dan browser.
Kedua kampanye tersebut sangat ditargetkan, dan penyerang “mengambil keuntungan dari kesenjangan waktu yang besar antara rilis perbaikan dan saat itu diterapkan sepenuhnya pada perangkat pengguna akhir,” menurut Clément Lecigne dari Google TAG.
Penemuan Google TAG dipicu oleh temuan yang dibagikan oleh Lab Keamanan Amnesty International, yang juga diterbitkan rincian mengenai domain dan infrastruktur yang digunakan dalam serangan.
CISA hari ini telah menambahkan lima dari sepuluh kerentanan yang digunakan dalam dua kampanye spyware ke dalam katalog Kerentanan Tereksploitasi (KEV) yang Diketahui:
Badan keamanan siber memberi waktu tiga minggu kepada badan-badan Federal Civilian Executive Branch Agencies (FCEB), hingga 20 April, untuk menambal perangkat seluler yang rentan terhadap serangan potensial yang akan menargetkan lima kelemahan keamanan ini.
Menurut BOD 22-01 petunjuk operasional yang mengikat dikeluarkan pada November 2021, agensi FCEB harus mengamankan jaringan mereka dari semua bug yang ditambahkan ke daftar kerentanan CISA yang diketahui dieksploitasi dalam serangan.
Sementara arahan BOD 22-01 hanya berlaku untuk lembaga FCEB, CISA sangat mendesak hari ini semua organisasi memprioritaskan pengemasan bug ini untuk menggagalkan upaya eksploitasi.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku dunia maya berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA diperingatkan.
