Cybersecurity and Infrastructure Security Agency (CISA) memerintahkan agen federal untuk menambal kerentanan keamanan yang dieksploitasi sebagai zero-days dalam serangan baru-baru ini untuk memasang spyware komersial di perangkat seluler.
Cacat tersebut disalahgunakan sebagai bagian dari beberapa rantai eksploitasi dalam dua kampanye terpisah yang menargetkan pengguna Android dan iOS, seperti yang baru-baru ini diungkapkan oleh Grup Analisis Ancaman (TAG) Google.
Terlihat bahwa pelaku ancaman menggunakan rantai eksploitasi terpisah untuk mengkompromikan perangkat iOS dan Android pada serangan pertama November 2022.
Sebulan kemudian, rantai kompleks beberapa zero-day dan n-day dieksploitasi untuk menargetkan ponsel Android Samsung yang menjalankan versi Browser Internet Samsung terbaru.
Muatan akhir adalah paket spyware untuk Android yang mampu mendekripsi dan mengekstraksi data dari berbagai aplikasi obrolan dan browser.
Kedua kampanye tersebut sangat ditargetkan, dan penyerang “mengambil keuntungan dari jeda waktu yang besar antara rilis perbaikan dan saat itu diterapkan sepenuhnya pada perangkat pengguna akhir,” menurut Clément Lecigne dari Google TAG.
Penemuan Google TAG didorong oleh temuan yang dibagikan oleh Lab Keamanan Amnesty International, yang juga menerbitkan rincian mengenai domain dan infrastruktur yang digunakan dalam serangan tersebut.
CISA hari ini menambahkan lima dari sepuluh kerentanan yang digunakan dalam dua kampanye spyware ke dalam katalog Known Exploited Vulnerabilities (KEV) antara lain CVE-2021-30900, CVE-2022-38181, CVE-2023-0266, CVE-2022-3038, dan CVE-2022-22706.
Badan keamanan siber memberikan waktu tiga minggu hingga 20 April kepada badan-badan Federal Civilian Executive Branch Agencies (FCEB) untuk menambal perangkat seluler yang rentan terhadap serangan potensial yang akan menargetkan lima kelemahan tersebut.
Selengkapnya: BleepingComputer
